所有條文

名  稱:

資通安全責任等級分級辦法 

Regulations on Classification of Cyber Security Responsibility Levels

修正日期: 民國 110 年 08 月 23 日
第 1 條
本辦法依資通安全管理法(以下簡稱本法)第七條第一項規定訂定之。
第 2 條
公務機關及特定非公務機關(以下簡稱各機關)之資通安全責任等級,由
高至低,分為 A  級、B 級、C 級、D 級及 E  級。
第 3 條
主管機關應每二年核定自身資通安全責任等級。
行政院直屬機關應每二年提交自身、所屬或監督之公務機關及所管之特定
非公務機關之資通安全責任等級,報主管機關核定。
直轄市、縣(市)政府應每二年提交自身、所屬或監督之公務機關,與所
轄鄉(鎮、市)、直轄市山地原住民區公所及其所屬或監督之公務機關之
資通安全責任等級,報主管機關核定。
直轄市及縣(市)議會、鄉(鎮、市)民代表會及直轄市山地原住民區民
代表會應每二年提交自身資通安全責任等級,由其所在區域之直轄市、縣
(市)政府彙送主管機關核定。
總統府、國家安全會議、立法院、司法院、考試院及監察院應每二年核定
自身、所屬或監督之公務機關及所管之特定非公務機關之資通安全責任等
級,送主管機關備查。
各機關因組織或業務調整,致須變更原資通安全責任等級時,應即依前五
項規定程序辦理等級變更;有新設機關時,亦同。
第一項至第五項公務機關辦理資通安全責任等級之提交或核定,就公務機
關或特定非公務機關內之單位,認有另列與該機關不同等級之必要者,得
考量其業務性質,依第四條至第十條規定認定之。
第 4 條
各機關有下列情形之一者,其資通安全責任等級為 A  級:
一、業務涉及國家機密。
二、業務涉及外交、國防或國土安全事項。
三、業務涉及全國性民眾服務或跨公務機關共用性資通系統之維運。
四、業務涉及全國性民眾或公務員個人資料檔案之持有。
五、屬公務機關,且業務涉及全國性之關鍵基礎設施事項。
六、屬關鍵基礎設施提供者,且業務經中央目的事業主管機關考量其提供
    或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性,
    認其資通系統失效或受影響,對社會公共利益、民心士氣或民眾生命
    、身體、財產安全將產生災難性或非常嚴重之影響。
七、屬公立醫學中心。
第 8 條
各機關有下列情形之一者,其資通安全責任等級為 E  級:
一、無資通系統且未提供資通服務。
二、屬公務機關,且其全部資通業務由其上級機關、監督機關或上開機關
    指定之公務機關兼辦或代管。
三、屬特定非公務機關,且其全部資通業務由其中央目的事業主管機關、
    中央目的事業主管機關所屬公務機關、中央目的事業主管機關所管特
    定非公務機關或出資之公務機關兼辦或代管。
第 9 條
各機關依第四條至前條規定,符合二個以上之資通安全責任等級者,其資
通安全責任等級列為其符合之最高等級。
第 10 條
各機關之資通安全責任等級依前六條規定認定之。但第三條第一項至第五
項之公務機關提交或核定資通安全責任等級時,得考量下列事項對國家安
全、社會公共利益、人民生命、身體、財產安全或公務機關聲譽之影響程
度,調整各機關之等級:
一、業務涉及外交、國防、國土安全、全國性、區域性或地區性之能源、
    水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院業務者,其
    中斷或受妨礙。
二、業務涉及個人資料、公務機密或其他依法規或契約應秘密之資訊者,
    其資料、公務機密或其他資訊之數量與性質,及遭受未經授權之存取
    、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害。
三、各機關依層級之不同,其功能受影響、失效或中斷。
四、其他與資通系統之提供、維運、規模或性質相關之具體事項。
第 12 條
本辦法之施行日期,由主管機關定之。
本辦法修正條文自發布日施行。