編章節內容

名  稱:

資通安全管理法 

Cyber Security Management Act

公發布日: 民國 107 年 06 月 06 日
   第 一 章 總則
第 1 條
為積極推動國家資通安全政策,加速建構國家資通安全環境,以保障國家
安全,維護社會公共利益,特制定本法。
第 2 條
本法之主管機關為行政院。
第 3 條
本法用詞,定義如下:
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資
    訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他
    處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制
    、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及
    可用性。
四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資
    通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構
    成資通安全政策之威脅。
五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但
    不包括軍事機關及情報機關。
六、特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財
    團法人。
七、關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運
    作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有
    重大影響之虞,經主管機關定期檢視並公告之領域。
八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經
    中央目的事業主管機關指定,並報主管機關核定者。
九、政府捐助之財團法人:指其營運及資金運用計畫應依預算法第四十一
    條第三項規定送立法院,及其年度預算書應依同條第四項規定送立法
    院審議之財團法人。
第 4 條
為提升資通安全,政府應提供資源,整合民間及產業力量,提升全民資通
安全意識,並推動下列事項:
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作。
三、資通安全產業之發展。
四、資通安全軟硬體技術規範、相關服務與審驗機制之發展。
前項相關事項之推動,由主管機關以國家資通安全發展方案定之。
第 5 條
主管機關應規劃並推動國家資通安全政策、資通安全科技發展、國際交流
合作及資通安全整體防護等相關事宜,並應定期公布國家資通安全情勢報
告、對公務機關資通安全維護計畫實施情形稽核概況報告及資通安全發展
方案。
前項情勢報告、實施情形稽核概況報告及資通安全發展方案,應送立法院
備查。
第 6 條
主管機關得委任或委託其他公務機關、法人或團體,辦理資通安全整體防
護、國際交流合作及其他資通安全相關事務。
前項被委託之公務機關、法人或團體或被複委託者,不得洩露在執行或辦
理相關事務過程中所獲悉關鍵基礎設施提供者之秘密。
第 7 條
主管機關應衡酌公務機關及特定非公務機關業務之重要性與機敏性、機關
層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條
件,訂定資通安全責任等級之分級;其分級基準、等級變更申請、義務內
容、專責人員之設置及其他相關事項之辦法,由主管機關定之。
主管機關得稽核特定非公務機關之資通安全維護計畫實施情形;其稽核之
頻率、內容與方法及其他相關事項之辦法,由主管機關定之。
特定非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或
待改善者,應向主管機關提出改善報告,並送中央目的事業主管機關。
第 8 條
主管機關應建立資通安全情資分享機制。
前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事
項之辦法,由主管機關定之。
第 9 條
公務機關或特定非公務機關,於本法適用範圍內,委外辦理資通系統之建
置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目
之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形
。