各機關應依其資通安全責任等級,辦理附表一至附表八之事項。
各機關自行或委外開發之資通系統應依附表九所定資通系統防護需求分級
原則完成資通系統分級,並依附表十所定資通系統防護基準執行控制措施
。特定非公務機關之中央目的事業主管機關就特定類型資通系統之防護基
準認有另為規定之必要者,得自行擬訂防護基準,報請主管機關核定後,
依其規定辦理。
公務機關經其上級機關或監督機關同意者,準用中央目的事業主管機關依
前項所定防護基準相關規定辦理;其他特定非公務機關經其中央目的事業
主管機關同意者,亦同。
各機關辦理附表一至附表八所定事項或執行附表十所定控制措施,因技術
限制、個別資通系統之設計、結構或性質等因素,就特定事項或控制措施
之辦理或執行顯有困難者,得經第三條第一項後段及第二項所定其等級提
交機關或同條第一項前段及第三項所定其等級核定機關同意,並報請主管
機關備查後,免執行該事項或控制措施。等級提交機關有前段情形者,經
主管機關同意後,免予執行;其為等級核定機關者,經報請主管機關備查
後,免予執行。
公務機關應依主管機關指定之方式,提報第一項及第二項事項之辦理情形
。
中央目的事業主管機關得要求其所管特定非公務機關,依其指定之方式提
報第一項及第二項事項之辦理情形。
附表一至附表十之規定,各機關因修正而須於所定期限內辦理新增或異動
項目,辦理期限自修正施行之日起算。
|