編章節內容

名  稱:

資通安全事件通報及應變辦法 

Regulations on the Notification and Response of Cyber Security Incident

修正日期: 民國 110 年 08 月 23 日
   第 三 章 特定非公務機關資通安全事件之通報及應變
第 11 條
特定非公務機關知悉資通安全事件後,應於一小時內依中央目的事業主管
機關指定之方式,進行資通安全事件之通報。
前項資通安全事件等級變更時,特定非公務機關應依前項規定,續行通報
。
特定非公務機關因故無法依第一項規定方式通報者,應於同項規定之時間
內依其他適當方式通報,並註記無法依規定方式通報之事由。
特定非公務機關於無法依第一項規定方式通報之事由解除後,應依該方式
補行通報。
第 12 條
中央目的事業主管機關應於特定非公務機關完成資通安全事件之通報後,
依下列規定時間完成該資通安全事件等級之審核,並得依審核結果變更其
等級:
一、通報為第一級或第二級資通安全事件者,於接獲後八小時內。
二、通報為第三級或第四級資通安全事件者,於接獲後二小時內。
中央目的事業主管機關依前項規定完成資通安全事件之審核後,應依下列
規定辦理:
一、審核結果為第一級或第二級資通安全事件者,應定期彙整審核結果、
    依據及其他必要資訊,依主管機關指定之方式送交主管機關。
二、審核結果為第三級或第四級資通安全事件者,應於審核完成後一小時
    內,將審核結果、依據及其他必要資訊,依主管機關指定之方式送交
    主管機關。
主管機關接獲前項資料後,得就資通安全事件之等級進行覆核,並得為等
級之變更。
第 14 條
中央目的事業主管機關就所管特定非公務機關執行資通安全事件之通報及
應變作業,應視情形提供必要支援或協助。
主管機關就特定非公務機關執行資通安全事件應變作業,得視情形提供必
要支援或協助。
特定非公務機關知悉第三級或第四級資通安全事件後,應召開會議研商相
關事宜。
第 15 條
特定非公務機關應就資通安全事件之通報訂定作業規範,其內容應包括下
列事項:
一、判定事件等級之流程及權責。
二、事件之影響範圍、損害程度及機關因應能力之評估。
三、資通安全事件之內部通報流程。
四、通知受資通安全事件影響之其他機關之時機及方式。
五、前四款事項之演練。
六、資通安全事件通報窗口及聯繫方式。
七、其他資通安全事件通報相關事項。
第 16 條
特定非公務機關應就資通安全事件之應變訂定作業規範,其內容應包括下
列事項:
一、應變小組之組織。
二、事件發生前之演練作業。
三、事件發生時之損害控制,及向中央目的事業主管機關請求技術支援或
    其他必要協助之機制。
四、事件發生後之復原、鑑識、調查及改善機制。
五、事件相關紀錄之保全。
六、其他資通安全事件應變相關事項。