編章節內容

名  稱:

資通安全管理法 

Cyber Security Management Act

修正日期: 民國 114 年 09 月 24 日
生效狀態: ※本法規部分或全部條文尚未生效,最後生效日期: 未定
所有條文 編 章 節 條文檢索 條號查詢 附屬法規 修正條文 歷史沿革 English 
   第 一 章 總則
第 1 條
為積極推動國家資通安全政策,加速建構國家資通安全環境,以保障國家
安全,維護社會公共利益,特制定本法。
第 2 條
本法之主管機關為數位發展部。
資通安全業務之執行,由數位發展部指定資安專責機關辦理。
第 3 條
本法用詞,定義如下:
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資
    訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他
    處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制
    、洩漏、破壞、竄改、銷毀,或其他情形影響其機密性、完整性或可
    用性。
四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資
    通安全或保護措施失效之狀態發生,影響資通系統機能運作。
五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但
    不包括軍事機關及情報機關。
六、特定非公務機關:指關鍵基礎設施提供者、公營事業、特定財團法人
    或受政府控制之事業、團體或機構。
七、關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運
    作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有
    重大影響之虞,經行政院定期檢視並公告之領域。
八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經
    中央目的事業主管機關指定,並報行政院核定者。
九、特定財團法人:指符合財團法人法第二條第二項、第三項或第六十三
    條第一項、第四項規定之財團法人,並屬該法第二條第八項所定全國
    性財團法人者。
十、受政府控制之事業、團體或機構:指銓敘部依公務人員退休資遣撫卹
    法第七十七條第一項第二款第三目及第四目公告之事業、團體或機構
    ,具資通安全重要性,經中央目的事業主管機關指定,並經主管機關
    核定者;其受地方政府控制者,應經地方主管機關同意後,主管機關
    始得核定。
十一、危害國家資通安全產品:指經主管機關認定,對國家資通安全具有
      直接或間接造成危害風險,影響政府運作或社會安定之資通系統、
      服務或產品。
第 4 條
為提升資通安全,政府應提供資源,整合民間及產業力量,提升全民資通
安全意識,並推動下列事項:
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作。
三、資通安全產業之發展。
四、資通安全軟硬體技術規範、相關服務及審驗機制之發展。
五、協助民間處理、因應及防範重大資通安全事件。
前項相關事項之推動,由主管機關擬訂國家資通安全發展方案,報請行政
院核定後實施。
第 5 條
為落實國家資通安全政策,各政府機關、中央及地方間,應致力配合推動
執行國家資通安全措施,共同建構國家資通安全環境。
為辦理國家資通安全政策、應變機制與重大計畫之諮詢審議,協調各政府
機關、中央及地方間之資通安全相關事務,行政院應定期召開國家資通安
全會報,由行政院院長或副院長擔任召集人,得邀請專家學者及民間團體
代表出席,必要時得召開臨時會議,其幕僚作業由主管機關辦理。
前項國家資通安全會報決議事項,相關政府部門應予執行,由主管機關定
期追蹤管考,並得辦理績效評核。
第二項國家資通安全會報之組成、任務、議事程序及其他相關事項之辦法
,由行政院定之。
第 6 條
主管機關應規劃並推動國家資通安全政策、資通安全科技發展、國際交流
合作及資通安全整體防護等相關事宜,並應每年公布國家資通安全情勢報
告、資通安全維護計畫實施情形稽核概況報告及國家資通安全發展方案。
前項情勢報告、實施情形稽核概況報告及國家資通安全發展方案,應由主
管機關送立法院備查。
第 7 條
公務機關及特定非公務機關,應按其業務重要性與機敏性、機關層級、保
有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,報由
主管機關核定或備查其資通安全責任等級。
公務機關及特定非公務機關應符合資通安全責任等級之要求,並自管理、
技術、認知及訓練等面向,辦理資通安全防護措施。
前二項資通安全責任等級之區分基準、核定或備查程序、變更申請、資通
安全防護措施辦理項目、內容、專職人員之資格條件與配置及其他相關事
項之辦法,由主管機關定之。
第 8 條
主管機關得定期或不定期稽核公務機關及特定非公務機關之資通安全維護
計畫實施情形。
前項稽核後,發現受稽核機關資通安全維護計畫實施情形有缺失或待改善
者,受稽核機關應提出改善報告,公務機關送交依第十四條規定收受其實
施情形之機關、特定非公務機關送交中央目的事業主管機關審查後,由該
審查機關送交主管機關。
前項收受改善報告之機關認有必要時,得要求受稽核機關進行說明或調整
。
前三項資通安全維護計畫實施情形之稽核頻率、內容與方法、改善報告之
提出及其他相關事項之辦法,由主管機關定之。
第一項稽核由主管機關擬訂年度計畫,報請行政院核定後辦理,年度計畫
及年度成果報告應送交國家資通安全會報備查。
 相關資訊
第 9 條
主管機關應建立資通安全情資分享機制。
前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事
項之辦法,由主管機關定之。
第 10 條
公務機關或特定非公務機關,於本法適用範圍內,委外辦理資通系統之建
置、維運或資通服務之提供,應選任適當之受託者,要求受託者建立有效
之資通安全管理機制,並監督該機制之實施。
前項受託者辦理受託業務之相關程序及環境,應具備完善之資通安全管理
措施或通過公正第三方驗證。
公務機關或特定非公務機關辦理第一項委外業務,應與受託者簽訂書面契
約,載明雙方之權利義務及違約責任。
公務機關及特定非公務機關,應配合主管機關之規劃辦理資通安全演練作
業,並視需要導入第三方協力機制;演練內容及其他相關事項,由主管機
關定之。