| 第一條 在避免不當侵犯人民權利之前提下,政府應建立國家資通安全政策及治理架構,整合資安政策法令,提供資安防護標準之參考,並由公私協力建立資安解決方案,帶動資通安全產業發展,以保障及維護社會公共利益,特制定本法。 |
在避免不當侵犯人民權利的前提下,為保障公共利益,參酌美國聯邦資訊安全現代化法(Federal
Information Security Modernization Act of 2014),明定本法之立法目的。 |
| 第二條 本法用詞,定義如下:
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指保護資訊及資通系統,免除於未經授權的存取、利用、揭露、干擾、修改、毀壞,以及可能導致之實際違法行為,或對依法形成的安全政策、安全流程或資訊利用政策構成威脅,以確保資訊及資通系統之完整性、機密性及可用性。
四、資安事件:指系統、服務或網路經識別已發生違法或違反資訊安全政策的狀態,或是可能與資通安全相關,然先前未知的狀態,致資訊及資通系統喪失完整性及機密性,因而構成對於資安政策或安全流程或資訊利用的威脅。
五、公務機關:指依法行使公權力之中央、地方機關(構)、行政法人、公營事業及政府捐助之財團法人。 |
明定本法用詞定義。 |
| 第三條 行政院為本法資通安全治理中央主管機關,基於建立國家資通安全政策及治理架構及整合資安政策法令的原則下,由行政院委任行政院資通安全管理處規劃並推動國家資通安全政策、制訂及整合資安政策法令、國際交流合作及資通安全整體防護等相關事宜,並應每年公布國家資通安全情勢報告及資通安全發展方案。
科技部為本法資通安全標準中央主管機關,基於提供資安防護標準參考之原則,由科技部委任國家實驗研究院,制訂資通安全標準參考,並應每年發布資通安全科技發展方案。 |
一、明定行政院為本法資通安全治理中央主管機關。
二、科技部為本法資通安全標準中央主管機關。 |
| 第四條 在公私協力建立資安解決方案,帶動資通安全產業發展的原則下,由政府提供資源,協力民間及產業力量,提升全民資通安全意識,並推動下列事項:
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作之推動。
三、資通安全產業之發展及推動。
四、資通安全軟硬體技術規範、相關服務與審驗機制之發展及推動。 |
在公私協力建立資安解決方案,帶動資通安全產業發展的原則下,由政府提供資源,協力民間及產業力量,提升全民資通安全意識,帶動資通安全產業發展。 |
| 第五條 行政院應建立資通安全情資分享機制。
前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由行政院定之。
第一項之業務由行政院委任行政院國家資通安全會報技術服務中心辦理。 |
行政院應建立資通安全情資分享機制,並委任國家高速網路與計算中心辦理。 |
| 第六條 行政院應衡酌公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級;其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法,由行政院定之。 |
依據公務機關資安等級,授權訂定相關辦法。 |
| 第七條 公務機關於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。 |
明定公務機關於本法適用範圍內得委外辦理。 |
| 第八條 公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 |
依據公務機關資安責任及等級,訂定資安維護計畫。 |
| 第九條 公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關事務。 |
為確保有效推動資通安全維護事項,公務機關應置資通安全長,由其成立相關推動組織及督導推動相關工作。考量資通安全長如由副首長擔任,更能提升資通安全於機關中之重要性,並參考美國二○一四年聯邦資訊安全現代化法§3554關於資訊長應指定資深資安專責人員負責相應事務規定之意旨,爰為本條規定。 |
| 第十條 公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形;無上級機關者,其資通安全維護計畫實施情形應送交行政院。 |
明定公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形,以確認其實施成效,並使上級或監督機關得了解及稽核所屬或受監督機關之年度資通安全維護情形。另因總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、直轄市議會及縣(市)議會等公務機關無上級機關,爰規定無上級機關者應將資通安全維護計畫實施情形送交行政院。行政院收受上開計畫實施情形後將予以備查,並得視情形提供必要協助。 |
| 第十一條 公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。
受稽核機關之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交稽核機關及上級或監督機關。 |
一、公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。
二、受稽核機關之資通安全維護計畫實施有缺失或待改善者,應向稽核機關及上級或監督機關提出改善報告。 |
| 第十二條 公務機關為因應資通安全事件,應訂定通報及應變機制。
公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報行政院;無上級機關者,應通報行政院。
公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交行政院;無上級機關者,應送交行政院。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由行政院定之。 |
一、明定公務機關應建立資通安全事件之通報及應變機制。
二、明定公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報行政院。另因總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、直轄市議會及縣(市)議會等公務機關無上級機關,爰規定無上級機關者應通報行政院。
三、明定公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交行政院,以利上級機關、監督機關或行政院監督,並得據以提供必要之協助。
四、明定公務機關資通安全事件之通報及應變。 |
| 第十三條 公務機關所屬人員對於機關之資通安全維護績效優良者,應予獎勵。
公務機關所屬人員未遵守本法規定者,應按其情節輕重,依相關規定予以懲戒或懲處。 |
公務機關所屬人員關於資通安全事務之獎懲本有公務人員考績法、公務員懲戒法等規定加以規範,惟為促進該等人員對於資通安全工作之重視與投入,爰為本條規定。公務機關所屬人員於踐行本法要求事項成果優良或卓越時,應予獎勵;如因故意或過失,未踐履本法所定資通安全義務時,應受懲戒或懲處;如有其他違反資通安全義務而涉及民事或刑事責任之情形時,仍應依各該相關法律處理之。 |
| 第十四條 本法施行細則,由行政院定之。 |
本法施行細則之訂定機關。 |
| 第十五條 本法施行日期,由行政院定之。 |
本法施行日期,考量配套子法作業時程,並為周延法制,以落實本法規定之執行,爰授權由行政院定之。 |
