資通安全管理法
資通安全管理法 立法於民國107年5月11日(現行條文) 2018年5月11日 2018年6月6日 公布於民國107年6月6日 總統華總一義字第10700060021號令 有效期:民國108年(2019年)1月1日至今 |
|
第一章 總則
編輯第一條 (立法目的)
- 為積極推動國家資通安全政策,加速建構國家資通安全環境,以保障國家安全,維護社會公共利益,特制定本法。
第二條 (主管機關)
- 本法之主管機關為行政院。
第三條 (用詞定義)
- 本法用詞,定義如下:
- 一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
- 二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
- 三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
- 四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。
- 五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。
- 六、特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
- 七、關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域。
- 八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者。
- 九、政府捐助之財團法人:指其營運及資金運用計畫應依預算法第四十一條第三項規定送立法院,及其年度預算書應依同條第四項規定送立法院審議之財團法人。
第四條 (國家資通安全發展推動事項)
- 為提升資通安全,政府應提供資源,整合民間及產業力量,提升全民資通安全意識,並推動下列事項:
- 一、資通安全專業人才之培育。
- 二、資通安全科技之研發、整合、應用、產學合作及國際交流合作。
- 三、資通安全產業之發展。
- 四、資通安全軟硬體技術規範、相關服務與審驗機制之發展。
- 前項相關事項之推動,由主管機關以國家資通安全發展方案定之。
第五條 (主管機關應規劃及推動國家整體資通安全政策等相關事宜,並定期公布國家資通安全情勢報告)
- 主管機關應規劃並推動國家資通安全政策、資通安全科技發展、國際交流合作及資通安全整體防護等相關事宜,並應定期公布國家資通安全情勢報告、對公務機關資通安全維護計畫實施情形稽核概況報告及資通安全發展方案。
- 前項情勢報告、實施情形稽核概況報告及資通安全發展方案,應送立法院備查。
第六條 (主管機關得委任或委託其他公務機關、法人或團體辦理資通安全整體防護相關事務)
- 主管機關得委任或委託其他公務機關、法人或團體,辦理資通安全整體防護、國際交流合作及其他資通安全相關事務。
- 前項被委託之公務機關、法人或團體或被複委託者,不得洩露在執行或辦理相關事務過程中所獲悉關鍵基礎設施提供者之秘密。
第七條 (主管機關應訂定資通安全責任等級分級辦法,並得稽核特定非公務機關之資通安全維護情形)
- 主管機關應衡酌公務機關及特定非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級;其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法,由主管機關定之。
- 主管機關得稽核特定非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由主管機關定之。
- 特定非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向主管機關提出改善報告,並送中央目的事業主管機關。
第八條 (主管機關應建立資通安全情資分享機制,並訂定相關事項之辦法)
- 主管機關應建立資通安全情資分享機制。
- 前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由主管機關定之。
第九條 (公務機關或特定非公務機關,於本法適用範圍內,委外辦理資通系統或資通服務事宜時,應就受託者之資通安全維護為監督)
- 公務機關或特定非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。
第二章 公務機關資通安全管理
編輯第十條 (公務機關應考量其所屬資通安全責任等級之要求及保有或處理之資訊種類等條件,訂定、修正及實施資通安全維護計畫)
- 公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
第十一條 (資通安全長之設置)
- 公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關事務。
第十二條 (公務機關應向上級或監督機關提出資通安全維護計畫之實施情形)
- 公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形;無上級機關者,其資通安全維護計畫實施情形應送交主管機關。
第十三條 (公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形)
- 公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。
- 受稽核機關之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交稽核機關及上級或監督機關。
第十四條 (公務機關應訂定資通安全事件之通報及應變機制)
- 公務機關為因應資通安全事件,應訂定通報及應變機制。
- 公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報主管機關;無上級機關者,應通報主管機關。
- 公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交主管機關;無上級機關者,應送交主管機關。
- 前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由主管機關定之。
第十五條 (公務機關所屬人員就資通安全維護績優之獎勵)
- 公務機關所屬人員對於機關之資通安全維護績效優良者,應予獎勵。
- 前項獎勵事項之辦法,由主管機關定之。
第三章 特定非公務機關資通安全管理
編輯第十六條 (關鍵基礎設施提供者,應訂定、修正及實施資通安全維護計畫)
- 中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後,指定關鍵基礎設施提供者,報請主管機關核定,並以書面通知受核定者。
- 關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
- 關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。
- 中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。
- 關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關。
- 第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
第十七條 (關鍵基礎設施提供者以外之特定非公務機關,應訂定、修正及實施資通安全維護計畫)
- 關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
- 中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。
- 中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。
- 前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。
第十八條 (特定非公務機關應訂定資通安全事件之通報及應變機制)
- 特定非公務機關為因應資通安全事件,應訂定通報及應變機制。
- 特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。
- 特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交主管機關。
- 前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由主管機關定之。
- 知悉重大資通安全事件時,主管機關或中央目的事業主管機關於適當時機得公告與事件相關之必要內容及因應措施,並得提供相關協助。
第四章 罰則
編輯第十九條 (公務機關所屬人員未遵守本法規定之懲處)
- 公務機關所屬人員未遵守本法規定者,應按其情節輕重,依相關規定予以懲戒或懲處。
- 前項懲處事項之辦法,由主管機關定之。
第二十條 (特定非公務機關違反本法相關規定之處罰)
- 特定非公務機關有下列情形之一者,由中央目的事業主管機關令限期改正;屆期未改正者,按次處新臺幣十萬元以上一百萬元以下罰鍰:
- 一、未依第十六條第二項或第十七條第一項規定,訂定、修正或實施資通安全維護計畫,或違反第十六條第六項或第十七條第四項所定辦法中有關資通安全維護計畫必要事項之規定。
- 二、未依第十六條第三項或第十七條第二項規定,向中央目的事業主管機關提出資通安全維護計畫之實施情形,或違反第十六條第六項或第十七條第四項所定辦法中有關資通安全維護計畫實施情形提出之規定。
- 三、未依第七條第三項、第十六條第五項或第十七條第三項規定,提出改善報告送交主管機關、中央目的事業主管機關,或違反第十六條第六項或第十七條第四項所定辦法中有關改善報告提出之規定。
- 四、未依第十八條第一項規定,訂定資通安全事件之通報及應變機制,或違反第十八條第四項所定辦法中有關通報及應變機制必要事項之規定。
- 五、未依第十八條第三項規定,向中央目的事業主管機關或主管機關提出資通安全事件之調查、處理及改善報告,或違反第十八條第四項所定辦法中有關報告提出之規定。
- 六、違反第十八條第四項所定辦法中有關通報內容之規定。
第二十一條 (特定非公務機關知悉資通安全事件未通報之處罰)
- 特定非公務機關未依第十八條第二項規定,通報資通安全事件,由中央目的事業主管機關處新臺幣三十萬元以上五百萬元以下罰鍰,並令限期改正;屆期未改正者,按次處罰之。
第五章 附則
編輯第二十二條 (施行細則)
- 本法施行細則,由主管機關定之。
第二十三條 (施行日)
- 本法施行日期,由主管機關定之。