跳到主要內容

條文內容

名稱:交通部所管特定非公務機關資通安全管理作業辦法

中華民國108年2月25日 制(訂)定

第一章  總則 第一條
本辦法依資通安全管理法(以下簡稱本法)第十六條第六項及第十七條第
四項規定訂定之。
第二條
本辦法所稱關鍵基礎設施提供者,指交通部(以下簡稱本部)依本法第十
六條第一項規定指定,報請主管機關核定者。
第二章  資通安全維護計畫必要事項及實施情形之提出 第三條
本部所管特定非公務機關(以下簡稱特定非公務機關)之資通安全維護計
畫,應依本法施行細則第六條第一項規定辦理。
特定非公務機關依本法第十六條第三項或第十七條第二項規定提出資通安
全維護計畫實施情形,應依本法施行細則第六條第二項規定辦理。
第四條
關鍵基礎設施提供者應於每年一月底前,依本部指定之方式提出資通安全
維護計畫。
關鍵基礎設施提供者以外之特定非公務機關,經本部要求提出資通安全維
護計畫者,應於收受本部通知後一個月內,依本部指定之方式提出。
第五條
關鍵基礎設施提供者應於每年一月底前,依本部指定之方式提出前一年度
資通安全維護計畫實施情形。
關鍵基礎設施提供者以外之特定非公務機關,經本部依本法第十七條第二
項規定要求提出資通安全維護計畫實施情形者,應於收受本部通知後二個
月內,依本部指定之方式提出。
第三章  資通安全維護計畫實施情形之稽核 第六條
本部應於每年四月底前擇定關鍵基礎設施提供者,並得擇定其他特定非公
務機關,以現場實地稽核之方式,稽核其資通安全維護計畫實施情形。
本部為辦理前項稽核,應訂定稽核計畫,其內容包括稽核之依據與目的、
期間、稽核小組組成方式、保密義務、稽核方式、基準及項目等與稽核相
關之事項。
本部決定前項稽核之基準及項目時,應綜合考量我國資通安全政策、國內
外資通安全趨勢、過往稽核成效及稽核資源等因素。
本部依第一項規定擇定受稽核之特定非公務機關(以下簡稱受稽核者)時
,應綜合考量其資通安全責任等級、資通安全事件發生之頻率與程度、資
通安全演練之成果、歷年受主管機關或本部稽核之頻率與結果及其他與資
通安全相關之因素。
第七條
本部辦理前條第一項之稽核,應於一個月前將稽核計畫以書面通知受稽核
者。
受稽核者因業務因素或其他正當理由,未能於本部指定之時間配合稽核者
,得於收受前項通知後五日內,以書面敘明理由向本部申請變更稽核日期
。
前項申請,除有不可抗力之事由外,以一次為限。
第八條
本部辦理第六條第一項之稽核,得要求受稽核者為資通安全維護計畫實施
情形之相關說明、協力或提供相關文件或證明供現場查閱,並執行下列事
項:
一、稽核前訪談。
二、現場實地稽核。
受稽核者依法律有正當理由,未能為前項說明、配合措施或提供資料時,
應以書面敘明理由,向本部提出。
本部收受前項書面後,應進行審核,依下列規定辦理,並得停止稽核作業
之全部或一部:
一、認有理由者,應將審核之依據及相關資訊記載於稽核結果報告。
二、認無理由者,應要求受稽核者依第一項規定辦理;已停止稽核作業者
    ,得擇期續行辦理,並於十日前以書面通知受稽核者。
第九條
本部為辦理第六條第一項之稽核,應依同條第四項之考量因素及實際稽核
需求,就各受稽核者分別組成稽核小組。
前項稽核小組成員三人至七人,由具備資通安全政策或該次稽核所需之技
術、管理、法律或實務專業知識之公務機關代表或專家學者擔任;其中公
務機關代表不得少於全體成員人數之三分之一。
前項公務機關代表或專家學者有下列情形之一者,應主動迴避擔任該次稽
核之稽核小組成員:
一、本人、其配偶、三親等內親屬、家屬或上開人員財產信託之受託人,
    與受稽核者或其負責人間有財產上或非財產上之利害關係。
二、本人、其配偶、三親等內親屬或家屬,與受稽核者或其負責人間,目
    前或過去二年內有僱傭、承攬、委任、代理或其他類似之關係。
三、本人目前或過去二年內曾任職之機關(構)、事業或單位,曾為受稽
    核者進行與受稽核項目相關之顧問輔導。
四、其他足認擔任稽核小組成員將影響稽核結果公正性之情形。
本部應以書面與稽核小組成員約定利益衝突之迴避事項及執行稽核之保密
義務。
第十條
本部應於稽核作業完成後一個月內,將稽核結果報告交付受稽核者。
前項稽核結果報告之內容,應包括稽核之範圍、缺失或待改善事項、第八
條第二項所定受稽核者未能為說明、配合措施或提供資料之情形與理由及
其他相關事項。
本部辦理稽核後,應於次年度一月底前彙整第一項稽核結果報告,並提交
主管機關備查。
第十一條
受稽核者經發現其資通安全維護計畫實施情形有缺失或待改善者,應於收
受稽核結果報告後一個月內,依本法施行細則第三條規定及本部指定之方
式,向本部提出改善報告。
受稽核者依前項規定提出改善報告後,應依其缺失或待改善事項之性質及
程度,適時以書面提出改善報告之執行情形;本部認有必要時,得要求受
稽核者進行說明或調整。
第四章  附則 第十二條
本辦法所定書面,依電子簽章法之規定,得以電子文件為之。
第十三條
本辦法所定特定非公務機關提出資通安全維護計畫與其實施情形之通知、
收受及該計畫實施情形之稽核事務,本部得委任所屬機關或委託其他公務
機關辦理,並將成果彙整後提交本部備查。
前項受委任或委託之公務機關對於辦理受任或受託事務所獲悉特定非公務
機關之秘密,不得洩漏。
第十四條
本辦法自發布日施行。