本細則依資通安全管理法（以下簡稱本法）第三十四條規定訂定之。

本法第二條第二項所定資安專責機關為數位發展部資通安全署。

本法第三條第五款所稱軍事機關，指國防部及其所屬機關（構）、部隊、
學校；所稱情報機關，指國家情報工作法第三條第一項第一款及第二項規
定之機關。

中央目的事業主管機關依本法第三條第十款規定指定受政府控制之事業、
團體或機構前，應給予其陳述意見之機會；中央目的事業主管機關依本法
第二十條第一項規定指定關鍵基礎設施提供者前，亦同。

本法第四條第一項第五款所稱重大資通安全事件，指民間單位有下列情形
之一者，並對社會公共利益、國民生活或經濟活動有重大影響之虞，且受
社會矚目之事件：
一、核心業務資訊遭嚴重洩漏。
二、核心業務資訊或核心資通系統遭嚴重竄改。
三、核心資通系統之運作受影響或停頓，無法於可容忍中斷時間內回復正
    常運作。

公務機關或特定非公務機關（以下簡稱各機關）依本法第八條第二項、第
十六條第一項、第二十條第五項或第二十一條第三項提出改善報告，應針
對資通安全維護計畫實施情形之稽核結果提出下列內容：
一、缺失或待改善之項目及內容。
二、發生原因。
三、為改正缺失或補強待改善項目所採取管理、技術、人力或資源等層面
    之措施。
四、前款措施之預定完成時程及執行進度之追蹤方式。
各機關依前項規定提出改善報告後，應依稽核機關指定之方式及時間，提
出改善報告之執行情形。

各機關依本法第十條規定委外辦理資通系統之建置、維運或資通服務之提
供（以下簡稱受託業務），選任及監督受託者時，應注意下列事項：
一、受託者應配置充足且經適當之資格訓練、擁有資通安全專業證照或具
    有類似業務經驗之資通安全專業人員。
二、受託者辦理受託業務得否複委託、得複委託之範圍與對象，及複委託
    之受託者應具備之資通安全維護措施。
三、受託業務涉及國家機密者，執行受託業務之相關人員應接受適任性查
    核，並依國家機密保護法之規定，管制其出境。
四、受託業務包括客製化資通系統開發者，受託者應提供該資通系統之安
    全性檢測證明；該資通系統屬委託機關之核心資通系統，或委託金額
    達新臺幣一千萬元以上者，委託機關應自行或另行委託第三方進行安
    全性檢測；涉及利用非受託者自行開發之系統或資源者，並應標示非
    自行開發之內容與其來源及提供授權證明。
五、受託者執行受託業務，違反資通安全相關法令或知悉資通安全事件時
    ，應立即通知委託機關及採行之補救措施。
六、委託關係終止或解除時，應確認受託者返還、移交、刪除或銷毀履行
    契約而持有之資料。
七、受託者應採取之其他資通安全相關維護措施。
八、委託機關應定期或於知悉受託者發生可能影響受託業務之資通安全事
    件時，以稽核或其他適當方式確認受託業務之執行情形。
委託機關辦理前項第三款之適任性查核，應考量受託業務所涉及國家機密
之機密等級及內容，就執行該業務之受託者所屬人員及可能接觸該國家機
密之其他人員，於必要範圍內查核有無下列事項：
一、曾犯刑法妨害電腦使用罪章之罪，經有罪判決確定，或通緝有案尚未
    結案。
二、曾犯洩密罪，或於動員戡亂時期終止後，犯內亂罪、外患罪，經有罪
    判決確定，或通緝有案尚未結案。
三、曾任公務員，因違反相關安全保密規定受懲戒或記過以上行政懲處。
四、曾受到外國政府、大陸地區、香港或澳門政府之利誘、脅迫，從事不
    利國家安全或重大利益情事。
五、其他與國家機密保護相關之具體項目。
第一項第三款情形，應記載於招標公告、招標文件及契約；於辦理適任性
查核前，並應經當事人書面同意。

本法第十條第四項所稱第三方協力機制，指主管機關、參與演練之公務機
關及特定非公務機關以外，具公正性及專業性之機構。

本法第十三條、第二十條第二項及第二十一條第一項所定資通安全維護計
畫，應包括下列事項：
一、核心業務及其重要性。
二、資通安全政策及目標。
三、資通安全推動組織。
四、專職人力及經費之配置。
五、資通安全長之配置。
六、資通系統之盤點，並標示核心資通系統及相關資產。
七、資通安全風險管理。
八、資通安全防護及控制措施。
九、資通安全事件通報、應變及演練相關機制。
十、資通安全情資之評估及因應機制。
十一、資通系統或服務委外辦理之管理措施。
十二、所屬人員辦理業務涉及資通安全事項之考核機制。
十三、資通安全維護計畫與實施情形之持續精進及績效管理機制。
各機關依本法第十四條、第二十條第三項或第二十一條第二項規定提出資
通安全維護計畫實施情形，應包括前項各款之執行成果及相關說明。
第一項資通安全維護計畫之訂定、修正、實施及前項實施情形之提出，公
務機關經本法第十四條規定收受其資通安全維護計畫實施情形之機關同意
，得由收受機關或其所屬、所監督之公務機關、所轄鄉（鎮、市）公所、
直轄市山地原住民區公所及鄉（鎮、市）民代表會、直轄市山地原住民區
民代表會辦理；特定非公務機關經其中央目的事業主管機關同意，得由其
中央目的事業主管機關、中央目的事業主管機關所屬、所監督公務機關或
中央目的事業主管機關所管特定非公務機關辦理。

前條第一項第一款所定核心業務，其範圍如下：
一、公務機關依其組織法規，足認該業務為機關核心權責所在。
二、各機關維運、提供關鍵基礎設施所必要之業務。
三、公營事業與特定財團法人及受政府控制之事業、團體或機構之主要服
    務或功能。
四、各機關依資通安全責任等級分級辦法第四條第一款至第五款或第五條
    第一款至第五款涉及之業務。
前條第一項第六款所稱核心資通系統，指支持核心業務持續運作必要之系
統，或依資通安全責任等級分級辦法附表九資通系統防護需求分級原則之
規定，判定其防護需求等級為高者。

本法第十四條所定上級機關，於中央機關指下列情形：
一、總統府、行政院所屬二級機關與獨立機關、考試院及監察院所屬二級
    機關，分別為總統府、行政院、考試院及監察院。
二、行政院、考試院及監察院所屬三級以下機關，為其所屬二級機關。
三、司法院直屬法院及法官學院，為司法院；臺灣高等法院所屬各分院、
    各地方法院及臺灣高雄少年及家事法院，為臺灣高等法院；福建高等
    法院金門分院所屬各地方法院，為福建高等法院金門分院。

本法第十七條第三項及第二十四條第三項所定資通安全事件調查、處理及
改善報告，應包括下列事項：
一、事件發生或知悉其發生、完成損害控制或復原作業之時間。
二、事件影響之範圍及損害評估。
三、損害控制及復原作業之歷程。
四、事件調查及處理作業之歷程。
五、事件根因分析。
六、為防範類似事件再次發生所採取之管理、技術、人力或資源等層面之
    措施。
七、前款措施之預定完成時程及成效追蹤機制。

本法第十七條第五項、第十八條第二項、第二十四條第三項、第五項、第
二十五條第一項與第二項規定所稱重大資通安全事件，指資通安全事件通
報應變及演練辦法第二條第四項及第五項規定之第三級及第四級資通安全
事件。

主管機關、本法第十四條規定收受資通安全維護計畫實施情形之機關或中
央目的事業主管機關知悉重大資通安全事件，依本法第十七條第五項、第
二十四條第五項規定公告與事件相關之必要內容及因應措施時，應載明事
件之發生或知悉其發生之時間、原因、影響程度、控制情形及後續改善措
施。
前項與事件相關之必要內容及因應措施，有下列情形之一者，不予公告：
一、涉及個人、法人或團體營業上秘密或經營事業有關之資訊，或公開有
    侵害公務機關、個人、法人或團體之權利或其他正當利益。但法規另
    有規定，或對公益有必要，或為保護人民生命、身體、健康有必要，
    或經當事人同意者，不在此限。
二、其他依法規規定應秘密、限制或禁止公開之情形。
第一項與事件相關之必要內容及因應措施含有前項不予公告之情形者，得
僅就其他部分公告之。

本細則自發布日施行。