| 第一條 本法立法目的為:
一、提供政府資通安全治理架構,以提升國家資通安全之防護、應變及復原能力。
二、透過管理及監察,以及與公民社會及國家安全機制之協作,以提供政府資通訊及資通系統安全保護之最低必要控制。
三、協助市場建立先進、高能、自動及有效的資安解決方案及認證機制,以協助民間建置資通安全能量。
四、提供資安防護標準,以作為政府全面性作業架構、資通系統安全保護最低必要控制,及關鍵基礎設施資安防護方案的依據。
五、統整資通安全政策、法令,以保障國家安全,維護社會公共利益。
六、透過提升政府採購軟體或硬體資安解決方案,以帶動資通安全產業發展,扶植國家資通安全人才。 |
一、明訂本法立法目的。
二、本法立法目的包含六大主題:
1.提供治理架構
2.提供資安最低必要控制
3.協助市場建立資安解決方案
4.提供資安防護標準
5.統整資安政策法令
6.以政府採購帶動資安產業
三、參考FISMA
2014之立法目的:
1.針對支持聯邦運作及資產(operation&
assets)的相關資訊,提供一個能夠提高資訊安全控制效能的全面性架構。
2.認知到現行聯邦資訊環境已經高度網路化的事實,提供有效的政府管理,以及對於相關資訊安全風險的監察,包括透過與公司社會、國家安全機制及執法單位的協作。
3.發展並維持對於聯邦「資訊及資訊系統」安全保護的最低必要控制。
4.提供一套機制,用以改善對聯邦資訊安全計畫的監察,包括經由自動化安全工具以持續「斷定(diagnose)」資安狀態並改善安全。
5.理解商業開發之資訊安全產品可提供先進、高能、自動及有效的資安解決方案,反映市場解決方案對於保護由私部門設計、建造及營運的關鍵基礎設施(對國安及自由經濟安全十分重要)十分重要。
6.認知選擇軟體或硬體資安解決方案應由各機關自行自商業市場產品中挑選。
四、參考ISO
27001之制訂目的:「本標準之制定係為提供用以建立、實作、運作、監視、審查、維持及改進資訊安全管理系統之模型。」 |
| 第二條 本法用詞,定義如下:
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指保護資訊及資通系統,免除於未經授權的存取、利用、揭露、干擾、修改、毀壞,以及可能導致之實際違法行為,或對依法形成的安全政策、安全流程或資訊利用政策構成威脅,以確保資訊及資通系統之完整性、機密性及可用性。
四、資安事件:指系統、服務或網路經識別已發生違法或違反資訊安全政策的狀態,或是可能與資通安全相關,然先前未知的狀態,致資訊及資通系統喪失完整性及機密性,因而構成對於資安政策或安全流程或資訊利用的威脅。
五、公務機關:指依法行使公權力之中央、地方機關(構)、公法人、公營事業及政府捐助之財團法人。
六、資通安全管理系統:整體管理系統的一部份,以營運風險管理為基礎,用以建立、實作、運作、監視、審查、維持及改進資通安全。
七、人力資源安全:整體人力資源管理之一部分,依所接觸資安業務機密等級所進行之聘僱前角色與責任之釐清、篩選、聘僱條款與條件,聘僱期間之管理階層責任、資訊安全認知、教育及訓練、懲處,聘僱終止或變更時之終止責任、資產歸還、存取權限之移除等事項。
八、關鍵基礎設施:指能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等實體或虛擬資產之營運所需之重要資通訊系統或調度、控制系統或網路,其功能一旦停止運作或效能降低,對國民生活、經濟活動、公眾安全或國家安全有重大影響之虞者。 |
一、明訂本法用詞定義。
二、資通系統及資通服務之定義參考美國NIST
2008年SP800-60
Volum 1:「資訊及資訊系統安全分類指引」附錄A。
三、資安之定義參考FISMA
2014第3552條:資安是「保護資訊及資訊系統,免除於未經授權的存取(unauthorized
access)、利用(use)、揭露(disclosure)、干擾(disruption)、修改(modification)、毀壞(destruction)」。
資安的目的在於提供:
1.完整性(integrity),意指保護系統免除於不正當的資訊修改或毀壞,並包括確保資訊的「可追究性nonrepudiation」及「真實authenticity」。
2.機密性,意指保護對於接取行為及揭露行為的限制性授權機制,包括對於個人隱私權及專屬性資訊的保護。
3.可用性,意指確保及時可靠的網路接取及資訊利用。
四、另參考ISO
27001對於「資訊安全」之定義:保存資訊的機密性、完整性及可用性;此外,亦能涉及如鑑別性、可歸責性、不可否認性及可靠度等性質。
五、參考FISMA
2014第3552條:「事件incident」意指發生:
1.中樞失效(without
lawful authority),喪失系統的完整性及機密性,「資訊及資訊系統」無法使用。
2.構成違法,或對依法形成的安全政策、安全流程或可被接受的資訊利用政策構成實存威脅。
六、ISO
27001對於「資訊安全事件」(information
security
event)之定義:系統、服務或網路發生一個已識別的狀態,顯示可能已發生資訊安全政策違例或保護措施失效,或是可能與安全相關,然先前未知的狀況等。
七、參考ISO
27001對於「資訊安全管理系統,ISMS」(Information
Security Management
System)之定義:整體管理系統的一部份,以營運風險導向(作法)為基礎,用以建立、實作、運作、監視、審查、維持及改進資訊安全。
八、參考ISO
27001對於「人力資源安全」之定義。
九、關鍵基礎設施之定義,參考行政院「國家關鍵基礎設施安全防護指導綱要」、美國總統13636號行政命令「增強關鍵基礎設施資安能力」、美國總統政策指引PPD─21「關鍵基礎設施之安全及復原」及美國31
CFR 800.208之定義。
十、關鍵基礎設施的定義不應以產業別作為分類基礎,而應仿歐盟作更精準的定義,免得過於浮濫而失焦。例如:歐盟關鍵基礎設施對於電業,只侷限於真正影響國安之「輸配電系統」,而非電廠或營業站。故本法僅限定於重要資通訊系統或調度、控制系統或網路。 |
| 第三條 本法所稱資安治理主管機關(本法簡稱資安治理機關),為行政院資通安全處。
資安治理機關掌理下列事項:
一、制訂與資安有關之法令、政策、原則。
二、依據資安法令、政策及原則建立資安治理架構。
三、整合與協調各公務機關之資安管理政策及程序。
四、監督各公務機關對於資安政策之執行及資安標準之遵守狀況。
五、與資安標準機關協作發展資安標準及相關作業辦法,並交付公務機關確認可行性。
六、依據資安標準機關公告之標準,與資安管理機關共同決定機關資通安全管理系統之最適資安防護等級及相關需求。
七、建立各公務機關資安治理評估系統並協助辦理資安治理評估系統試行與導入。
八、確保各公務機關依資安政策,於出現資安事件時,通報國家資通安全技術服務中心。
九、建立資安事件分級標準及公務機關資料分級標準,以供公務機關據以辦理通報。
十、確保各公務機關依資安政策提報年度資安報告。
十一、綜理國家資通安全技術服務中心之運作與管理。
十二、確保資安管理與各公務機關之政務運作、政策計畫及預算流程整合一致。
十三、召集各公務機關資安長或資深資安人員會議,以確保資安政策得以有效執行。
十四、制訂與關鍵基礎設施有關之資安政策及原則,及辦理關鍵基礎設施之公告。
十五、定期公布國家資通安全情勢報告及資通安全發展方案。
十六、其他資安治理必要事項。 |
一、明訂資安治理主管機關掌理事項。
二、參考FISMA
2014第3553條「國土安全部部長及國家情報總監的功能及權力」。
三、參考行政院國家資通安全會報技術服務中心內部簡報《資安治理概論與規劃》第13頁。
四、資安事件小自個人密碼被盜,大到機構遭到DDoS攻擊或大筆資料外洩,律定資安通報責任時應該要釐清何種等級的資安事件才需要通報,以免浪費行政資源。
五、參考美國2008年NIST
SP800-60 Volum
1:「資訊及資訊系統安全分類指引」,該指引之立法目的即在「協助聯邦各機關將資訊及資訊系統分類,以便將各種資安風險依衝擊等級及結果嚴重性細分,俾該機關正確執行資安防護政策」。故於第二項第九款明列資安治理主管機關應建立資安事件及公務機關資料分級標準,以利公務機關據以辦理通報作業及制訂相對應之資安措施。 |
| 第四條 本法所稱資安管理主管機關(本法簡稱資安管理機關),在中央為二級機關及行政院直屬三級機關,在地方為直轄市、縣(市)政府,公法人、公營事業及政府捐助之財團法人為該法人及事業。
資安管理機關掌理下列事項:
一、發展公務機關(構)資通安全管理系統,以確保資安作業能持續整個資訊系統週期,且計畫內容須以風險評估為基礎,並包含委外承包商管理。
二、確保資通安全管理系統之作為與機關的戰略、運作、計畫及預算流程整合一致。
三、依據資安標準機關公告之標準,與資安治理機關共同決定機關資通安全管理系統之最適資安防護等級及相關需求。
四、依據成本效益原則執行資安政策及程序,以降低資安風險至可接受的程度。
五、至少一年一次測試及評估資通安全管理系統之管控及技術,包括自動化工具之使用,以確保其有效執行。
六、提出年度資安報告,包含因資安事件所進行之系統修復行動。
七、依據前條第二項第九款之資安事件及公務機關資料分級標準,於資安事件發生時負責通報。
八、確保公務機關擁有質量足夠的資安人力及預算,以完成相關政策、程序、標準,及指引的落實。
九、訓練及監管資安人員擔負資安責任。
十、確保機關所有人員、委外承包商人員及委託其他機關代辦資安業務人員的能力皆得以執行資安計畫。
十一、指定一具備專業資格之資安官專責機關之資安作業。
十二、負責機關之人力資源安全,其範圍包括正式員工、包商以及委託其他機關執行資安相關業務人員,必要時得依業務機密等級進行不同等級之忠誠調查。
十三、在不抵觸資安政策之前提下,依據資安標準機關所提供之資通安全等級,辦理各機關監管或輔導之產業的資通安全協作事項。
十四、督導下級機關辦理本條所列事項。
十五、辦理資安軟體及服務之採購。
十六、其他資安管理必要事項。 |
一、明訂資安管理主管機關掌理事項。
二、參考FISMA
2014第3554條「聯邦政府的責任」。
三、數據安全是各國資通安全立法保護重點,但未必皆見於其資安專法。例如,美國在商業資訊安全方面透過《統一商業秘密法》、《經濟間諜法》對竊取商業秘密的行為進行相關刑罰。美國《電腦詐欺和濫用法》、英國《電腦濫用法》都規範了非法利用和竊取政府部門數據資訊行為的罰則。在個人數據方面,美國《反竊聽法》、《電信法》對資訊傳輸過程中非法攔截及竊取個人數據的行為加以管制。歐盟《1992年資訊安全框架決定》、《1995年數據保護指令》、《2002年隱私與電子通信指令》、《2006年數據留存指令》,都是歐洲保護個人數據的重要基本規範。資通安全管理機關本為各目的事業主管機關,肩負相關產業之監管輔導責任,在不抵觸資安政策之前提下,自然可以依據資安標準主管機關所提供之資通安全等級,辦理各機關監管或輔導之產業的資通安全協作事項。
四、我國現行資通安全相關之法律規範,可劃分為網路犯罪、身分認證、通訊保障、資料保護、資訊公開與機密維護,及資安治理六大類;其所涉及之法律規範包含刑法、電子簽章法、電信法、通訊保障及監察法等21項,於本法通過後依然有效,原目的事業主管機關也依然得依法辦理所轄業務。 |
| 第五條 本法所稱資安標準主管機關(本法簡稱資安標準機關),為經濟部標準檢驗局。
資安標準機關掌理下列事項:
一、與資安治理機關協作制定全國統一性的標準與指引。
二、對公務機關所處理與保管的資訊進行分類,標示其資通安全等級。
三、提供資訊與資通系統相關之安全指引。
四、為公務機關制定資通安全準則。
五、資通安全軟硬體技術規範、相關服務與審驗機制之發展與推動。
六、其他與資安標準相關之業務。
資安標準機關於執行前項各業務時,應協同資安治理機關,並徵詢技服中心之技術支援。 |
一、明訂資安標準主管機關掌理事項。
二、參考40
U.S .
Code§11331「聯邦政府資訊系統相關責任」,由國家標準技術研究所負責制定統一性的標準與指引,並對聯邦政府機關所處理與保管的資訊進行分類,標示其資訊安全等級,同時提供資訊與資訊系統相關之安全指引。目前美國國家標準與技術局制定的資通安全準則(NIST
SP 800)系列文件已廣泛應用於聯邦政府所有的資訊系統。 |
| 第六條 行政院設行政法人國家資通安全技術服務中心(本法簡稱技服中心),辦理下列事項:
一、提供各公務機關於執行資安政策、原則、標準、指引上之操作支援及技術支援。
二、協助資安管理機關緩解緊急資安狀態。
三、辦理網路攻防演練,輔以定期稽核、健診及滲透測試等服務,及早發現資安問題。
四、針對資安人員及一般人員之資安訓練。
五、編輯並分析各機關之資安情資。
六、發展並指導公務機關資安系統的運作評估重點,包括資安系統所面臨之威脅,及資安系統的弱點評估。
七、維運政府資通安全防護監控中心及政府資安資訊分享與分析中心。
八、強化政府機關(構)資安聯防監控能量,建構巨量資料分析能量。
九、受理公務機關資安事件之通報。
十、協同資安治理機關及資安標準機關共同發展及執行基於風險管理基礎的資安標準。
十一、推動公務人員資安職能評量機制,持續培育資安專業人才,並推廣全民資安意識。
十二、推動資通安全科技之研發、整合、應用及國際合作交流。
十三、支援產業資通安全重大發展策略之需求。
十四、規劃及支援國家關鍵基礎設施之資通安全防護。
十五、其他與資通安全科技相關之業務。
國家資通安全技術服務中心之組織另以法律定之。 |
一、明訂行政院國家資通安全技術服務中心辦理事項。
二、參考FISMA
2014第3556條「聯邦資安事件中心」職權之相關規範如下:
1.通則:
I.
於機關資訊營運者面臨資安事件時,提供及時的技術協助,包括提供偵測技術協助及掌握資安事件的指引。
II.
編輯及分析威脅資安事件之情資。
III.
知會資訊營運者現存及潛在資安威脅,及易受攻擊之弱點。
IV.
提供機關適當的資安威脅及弱點的相關情資,以助機關進行風險評估。
V.
諮詢NIST、資安體系各機關及辦公室(包括國安局),及其他依法及直轄總統,並與資安業務有關之單位。
2.國安系統:國安體系任何一機關皆須與聯邦資安事件中心分享資安事件、威脅及攻擊弱點等相關資訊,分享程度到符合國安體系應符合之標準,或指引所要求,且經法律授權,總統命令為之者。
三、參考「行政院國家資通安全會報技術服務中心」設置宗旨:
1.研析國家資安法規體系,協助研議政府機關資安規範與指引,以完備國家資安基礎環境。
2.維運政府資通安全防護監控中心(Government─Security
Operation Center, G─SOC)、政府資安資訊分享與分析中心(Government─Information
Sharing and Analysis Center, G─ISAC)等。
3.協助各政府機關(構)處理重大資通安全事件,加強緊急應變及處理復原能力,並舉行大規模網路攻防演練,輔以定期稽核、健診及滲透測試等服務,及早發現政府與關鍵基礎設施資安問題。
4.強化政府機關(構)資安聯防監控能量,建構巨量資料分析能量。
5.推動資安治理與資安責任等級分級防護,加強各機關(構)資安防護縱深機制。
6.推動公務人員資安職能評量機制,持續培育資安專業人才,並推廣全民資安意識。
7.規劃關鍵資訊基礎設施之資通安全防護機制。
四、參考美國「網路威脅情報整合中心」(Cyber
Threat Intelligence Integration
Center─CTIIC)之功能,該中心扮演全美網路威脅情報中樞,匯總聯邦調查局、中央情報局及國家安全局等多部門的情報力量,提高美國防範和應對網路攻擊的能力。 |
| 第七條 資安管理機關應最遲於每年一月三十一日前,向資安治理機關提報前年度資安政策實施狀況,資安治理機關應於彙整後,最遲於三月一日前,向立法院提報前年度資安政策實施狀況。
前年度資安政策實施狀況報告應包含:
一、關於每一主要資安事件或相關事件群之描述。
二、資安事件總數,包括造成嚴重資安損害的事件數、系統衝擊等級、事件型態,及受損系統部位等資料。
三、個資侵權的資安事件描述。
四、依據第四條第二項第五款必須完成之年度評估結果摘要。
五、其他任何資安治理機關認為必要的資訊。
前年度資安政策實施狀況報告應同時提報國家安全會議及審計部。 |
一、明訂年度報告相關事項。
二、參考FISMA
2014第3554條「聯邦政府的責任」第三項「機關報告」。
三、「機關報告Agency
Reporting」分為「年度報告」及「其他計畫及報告」。「年度報告」以「一般性報告」為主,須以非機密形式提報。另一種則是附件以機密形式提報。
四、「一般性報告」包含以下四主要主題:
1.關於每一主要資安事件或相關事件群的描述。
2.資安事件總數,包括造成嚴重資安損害的事件數、系統衝擊等級、事件型態,及受損系統部位等資料。
3.個資侵權的資安事件描述。
4.任何資安總監認為必要,或是部長諮詢資安總監後認為必要的資訊。
五、年度報告報告對象包括國家情報總監、國土安全部部長、政府改革委員會、國土安全委員會、參議院科學委員會、參議院國土安全暨政府事務委員會、參議院商業科學暨交通委員會、國會撥款委員會(appropriations
committees)及審計總長(Comptroller
General)。
六、每一公務機關(構)皆須提報年度報告,以陳述該機關對於資安政策、程序及實踐是否足夠且有效。 |
| 第八條 審計部應於資安治理機關提報前年度資安政策實施狀況報告後二個月內,完成對於公務機關資安政策實施狀況之稽核,並向立法院提出稽核結果報告。 |
一、明訂公務機關稽核相關事項。
二、參考FISMA
2014第3555條「年度獨立評價作業」第二項「獨立稽核Independent
Auditor」:
1.檢查總署應該依據1978年檢查總署法之規定,指定部分機關受檢,受指定之機關,其依本條所定年度評價作業應由該檢察總署,或檢查總署指派之獨立外部稽核人員為之。
2.不適用前款規定之機關,機關首長應聘任一外部稽核人員完成此評價作業。 |
| 第九條 關鍵基礎設施分為公有關鍵基礎設施及私有關鍵基礎設施。
公有關鍵基礎設施指公務機關(構)依據法律規定,或基於權利行使,或由於預算支出,或由於接受捐贈取得全部或部分所有權之關鍵基礎設施。非屬公有關鍵基礎設施之關鍵基礎設施為私有關鍵基礎設施。
關鍵基礎設施之防護應採用風險管理架構。
資安管理機關應為公有關鍵基礎設施提供防護架構,制訂防護執行策略及推動方針,執行資產調查及風險分析,決定防護優先等級,建立通報系統,實施防護演練、測試與檢討。
資安治理機關、資安管理機關及技服中心應透過下列措施,積極鼓勵私有關鍵基礎設施提供者參與資安防護工作:
一、透過即時預警資訊之提供,促進民間關鍵基礎設施擁有者自願參與資訊分享機制。
二、邀請私有關鍵基礎設施提供者參與公務機關或公有關鍵基礎設施舉辦之資安防護演練。
三、撰擬防護計畫時,結合相依性或替代性之私有關鍵基礎設施提供者資源,形成縱深應變體系。
四、透過輔導政策獎勵私有關鍵基礎設施提供者參與風險管理及應變機制。
私有關鍵基礎設施提供者應配合主管機關參與風險管理及應變機制。 |
一、明訂關鍵基礎設施相關事項。
二、第一項關鍵基礎設施之區分為公有及私有,請參考行政院「國家關鍵基礎設施安全防護指導綱要」之肆「關鍵基礎設施定義及分類」。
三、第二項公有關鍵基礎設施之定義參考《國有財產法》。
四、第三項請參考行政院「國家關鍵基礎設施安全防護指導綱要」之貳「防護目標與風險管理架構」。風險管理架構包括下列項目:
1.設定安全目標
2.辨識資產、系統與網絡
3.風險評估
4.決定防護強化優先次序
5.實施防護計畫
6.衡量實施成效
五、第四項請參考行政院「國家關鍵基礎設施安全防護指導綱要」之伍「防護規劃建置程序」。
六、第五項請參考行政院「國家關鍵基礎設施安全防護指導綱要」之壹拾肆「民營企業與民間組織之參與」。
七、美國總統政策指引PPD─21「關鍵基礎設施之安全及復原Critical
Infrastructure Security and
Resilience」中明確表示,對於關鍵基礎設施之防護,政府與民間共同承擔責任,然即便聯邦政府得以命令要求關鍵基礎設施業者配合建構資安防護,雙方仍應該是伙伴關係。
八、美國總統13636號行政命令「增強關鍵基礎設施資安能力」亦強調協同發展及執行風險管理標準,並特別指出增加資安情資供應質量及時效是美國政府的責任。
九、日本網絡安全策略依下列四個基本原則來規劃,包括:(1)保證資訊自由流通,並確保隱私與智慧財產權;(2)制訂法律,並參考國際規範;(3)開放;(4)自治;(5)與CII利害關係人共同協作。在關鍵資訊基礎設施的保護方面,公私機構間安全實務與發現的資訊分享,並且對CIIP的範圍定期審查。其中包括:由政府安全工作協調小組(Government
Security Operation Coordination Team,
GSOC)擔任監督與資訊分享的角色,分享網絡安全事件與偵測資訊給CII相關部門。
十、依據德國2015資訊科技安全法(IT─Sicherheitsgesetz),德國聯邦政府要求關鍵基礎設施的營運商,要滿足資訊科技安全的最低標準,且須向聯邦資訊安全局通報資訊安全事件。聯邦資訊安全局要對關鍵基礎設施營運商的資訊進行評估分析,並提供給關鍵基礎設施營運商彙整改善,以提高其基礎設施的保護。 |
| 第十條 資安事件發生時,公務機關及關鍵基礎設施提供者應即時通知並諮詢技服中心。
如發生之資安事件屬於重大資安事件,公務機關及關鍵基礎設施提供者並應即時通知資安治理機關、資安管理機關、國家安全會議秘書處。資安治理機關應於最遲七日內向立法院提出報告。
前項所稱重大資安事件之定義,由資安治理機關諮詢技服中心後訂之。 |
一、明訂公務機關稽核相關事項。
二、參考FISMA
2014第3554條「聯邦政府的責任」第二項第七款第三目「偵測、報告、反應資安事件的流程」。
三、依據該流程,遇資安事件發生時,除致力於在實質損害發生前緩和因資安事件所引起的風險外,公務機關有義務:
1.通知並諮詢聯邦資安中心。
2.在適當情況下,通知並諮詢
i.
執法機關、檢察總長及總法律顧問辦公室
ii.
總統指派處理國安系統問題的辦公室
iii.
國會重大事件委員會:
I.
於合理判定已經發生重大事件之後7日內。
II.
在前述時間之後一段合理時間之後,又出現與該重大事件相關的新事證。
iv.
任何依法成立或由總統指揮的機關(構)
四、紐約州金融署要求公司必須在2018年2月15日以前向監理機關,提交一份遵循報告,其中包括以下內容:「若發生重大網絡安全事件,公司必須要在72小時內報告監理機關。」 |
| 第十一條 技服中心應比照國際主要規範,建立我國資通安全認證機制,以供公務機關、關鍵基礎設施及民間進行資安認證之用。
我國資通安全認證能量尚無法提供認證者,應以國際主要規範作為規範,以取得該等級規範之認證作為通過認證之依據。
國際主要規範之內容由技服中心訂定並公告。
資安治理機關應推動與他國之間資安認證互相承認。 |
一、明訂認證機制相關事項。
二、我國欲建立認證機制,應採取國際主流標準。國內認證能量不足者,應採納國際認證標準。
三、資安治理主管機關應推動與他國之間資安認證互相承認。 |
| 第十二條 關鍵基礎設施提供者違反第十條第二項之通報義務,由資安治理機關處新臺幣十萬元以上一百萬元以下罰鍰。 |
一、明訂違反通報義務之罰則。
二、德國於2015年6月12日通過資訊科技安全法案,德國重要企業遇到網絡攻擊必須申報,否則將被罰款,罰金最高十萬歐元。所謂重要企業是指能源公司、銀行、醫院等。
三、資安作業要能有效運作,最重要的是能建立聯防體系。資安聯防體系從攻擊事件發生、可疑事件偵測,到分析、處理、鑑識,最重要且必要的環節是通報,以便聯防體系之其他單位早期知悉攻擊發生,以避免事態擴大。 |
| 第十三條 資安治理機關應協調經濟部及技服中心,協助市場建立先進、高能、自動及有效的資安解決方案。
資安治理機關應協調經濟部及技服中心,政策獎勵自建關鍵基礎設施之資訊核心系統者。 |
明訂資安治理機關市場協助義務。 |
| 第十四條 本法自公布日施行。 |
明訂施行日期。 |
