法規名稱: 資通安全責任等級分級辦法

文章推薦指數: 80 %
投票人數:10人

各機關有下列情形之一者,其資通安全責任等級為B級: 一、業務涉及公務機關捐助、資助或研發之國家核心科技資訊之安全維護及管理。

二、業務涉及區域性、地區性民眾服務或 ... 目前線上:944人,瀏覽人次:675779711 會員登入| 加入會員 法規檢索 令函判解 英譯法規 裁判書 書狀例稿 契約範本 植根服務 相關網站 行政令函│司法判解 研討會訊息│植根雜誌 法規資訊 法規名稱: 資通安全責任等級分級辦法 時間: 中華民國110年8月23日 立法沿革: 中華民國110年8月23日行政院院臺護字第1100182012號令修正發布第5條 至第7條條文及第11條附表一至附表八、附表十 法規體系: /行政/通用 歷史沿革 1. 中華民國107年11月21日行政院院臺護字第1070213547號令訂定發布全文 12條(中華民國107年12月5日行政院院臺護字第1070217128號令發布,定 自108年1月1日施行)本資料僅供會員查閱,若您尚未加入會員,請加入會員。

2. 中華民國108年8月26日行政院院臺護字第1080184606號令修正發布第4條 、第5條、第8條、第11條、第12條條文及第11條附表一至附表十,自發布 日施行本資料僅供會員查閱,若您尚未加入會員,請加入會員。

3. 中華民國110年8月23日行政院院臺護字第1100182012號令修正發布第5條 至第7條條文及第11條附表一至附表八、附表十 立法總說明 資通安全責任等級分級辦法(以下簡稱本辦法)於一百零七年十一月二十 一日訂定發布,一百零八年一月一日施行,並於同年八月二十六日修正。

為強化各機關之資通安全防護,並使本辦法規範事項更符合實務運作需要 ,爰修正本辦法第五條、第六條、第七條及第十一條附表一至附表八、附 表十,其修正要點如下: 一、修正資通安全責任等級B級機關之情形。

(修正條文第五條) 二、定明各機關維運自行或委外設置、開發之資通系統者,其資通安全責 任等級為C級,並配合修正資通安全責任等級D級之情形。

(修正條文 第六條及第七條) 三、刪除限制使用危害國家資通安全產品之辦理內容。

(修正條文第十一 條附表一至附表八) 四、資通安全責任等級為A級、B級、C級之公務機關及關鍵基礎設施提供 者應導入資通安全弱點通報機制,A級及B級之公務機關並應導入端點 偵測及應變機制。

(修正條文第十一條附表一至附表六) 五、配合第六條修正條文,刪除郵件伺服器辦理項目。

(修正條文第十一 條附表七) 六、修正資通系統防護基準控制措施之規定。

(修正條文第十一條附表十 ) 附件下載 附表一-資通安全責任等級A級之公務機關應辦事項 附表二-資通安全責任等級A級之特定非公務機關應辦事項 附表三-資通安全責任等級B級之公務機關應辦事項 附表四-資通安全責任等級B級之特定非公務機關應辦事項 附表五-資通安全責任等級C級之公務機關應辦事項 附表六-資通安全責任等級C級之特定非公務機關應辦事項 附表七-資通安全責任等級D級之各機關應辦事項 附表八-資通安全責任等級E級之各機關應辦事項 附表九-資通系統防護需求分級原則 附表十-資通系統防護基準 法規異動 修正 [修正]第五條各機關有下列情形之一者,其資通安全責任等級為B級: 一、業務涉及公務機關捐助、資助或研發之國家核心科技資訊之安全維護 及管理。

二、業務涉及區域性、地區性民眾服務或跨公務機關共用性資通系統之維 運。

三、業務涉及區域性或地區性民眾個人資料檔案之持有。

四、業務涉及中央二級機關及所屬各級機關(構)共用性資通系統之維運 。

五、屬公務機關,且業務涉及區域性或地區性之關鍵基礎設施事項。

六、屬關鍵基礎設施提供者,且業務經中央目的事業主管機關考量其提供 或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性, 認其資通系統失效或受影響,對社會公共利益、民心士氣或民眾生命 、身體、財產安全將產生嚴重影響。

七、屬公立區域醫院或地區醫院。

〔立法理由〕一、配合科技部於一百零八年將「政府資助敏感科技研究計畫安全管制作 業手冊」修正為「政府資助國家核心科技研究計畫安全管制作業手冊 」,並於該手冊規定國家核心科技之定義,爰將現行第一款所定「敏 感科學技術」修正為「國家核心科技」。

二、其餘各款未修正。

[修正]第六條各機關維運自行或委外設置、開發之資通系統者,其資通安全責任等級為 C級。

前項所定自行或委外設置之資通系統,指具權限區分及管理功能之資通系 統。

〔立法理由〕考量各機關使用之資通系統有非屬自行或委外開發者,例如市面販售之目 錄服務系統、電子郵件系統等,係屬其自行或委外採購設置,該等具權限 區分及管理功能之資通系統之資安風險仍應進行較高之管控作為,資通安 全責任等級宜列為C級,爰將現行條文列為第一項,增訂「設置」之情形 ,並增訂第二項,定明第一項所定自行或委外設置之資通系統之範圍。

[修正]第七條各機關自行辦理資通業務,未維運自行或委外設置、開發之資通系統者, 其資通安全責任等級為D級。

〔立法理由〕配合第六條修正維運自行或委外設置之資通系統者之資通安全責任等級為 C級,修正本條所定資通安全責任等級為D級之情形。

[修正]第十一條各機關應依其資通安全責任等級,辦理附表一至附表八之事項。

各機關自行或委外開發之資通系統應依附表九所定資通系統防護需求分級 原則完成資通系統分級,並依附表十所定資通系統防護基準執行控制措施 ;特定非公務機關之中央目的事業主管機關就特定類型資通系統之防護基 準認有另為規定之必要者,得自行擬訂防護基準,報請主管機關核定後, 依其規定辦理。

各機關辦理附表一至附表八所定事項或執行附表十所定控制措施,因技術 限制、個別資通系統之設計、結構或性質等因素,就特定事項或控制措施 之辦理或執行顯有困難者,得經第三條第二項至第四項所定其等級提交機 關或同條第五項所定其等級核定機關同意,並報請主管機關備查後,免執 行該事項或控制措施;其為主管機關者,經其同意後,免予執行。

公務機關之資通安全責任等級為A級或B級者,應依主管機關指定之方式, 提報第一項及第二項事項之辦理情形。

中央目的事業主管機關得要求所管特定非公務機關,依其指定之方式提報 第一項及第二項事項之辦理情形。

附表一-資通安全責任等級A級之公務機關應辦事項附表二-資通安全責任等級A級之特定非公務機關應辦事項附表三-資通安全責任等級B級之公務機關應辦事項附表四-資通安全責任等級B級之特定非公務機關應辦事項附表五-資通安全責任等級C級之公務機關應辦事項附表六-資通安全責任等級C級之特定非公務機關應辦事項附表七-資通安全責任等級D級之各機關應辦事項附表八-資通安全責任等級E級之各機關應辦事項附表九-資通系統防護需求分級原則附表十-資通系統防護基準 RSS服務訂閱說明|合作提案|隱私權聲明|著作權聲明|常見問題 106臺北市信義路三段162-12號玫瑰大樓3樓電話:02-2707-2848傳真:02-2708-4428 COPYRIGHT(C)2000-2003ROOTLAWALLRIGHTSRESERVED.MAILTOWEBMASTER.



請為這篇文章評分?