資通安全管理法

第十條  公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫

資通安全管理法施行細則

第六條  .....資通安全維護計畫,應包括下列事項
一、核心業務及其重要性。
二、資通安全政策及目標。
三、資通安全推動組織。
四、專責人力及經費之配置。
五、公務機關資通安全長之配置。
六、資訊及資通系統之盤點,並標示核心資通系統及相關資產。
七、資通安全風險評估。
八、資通安全防護及控制措施
九、資通安全事件通報、應變及演練相關機制。
十、資通安全情資之評估及因應機制。
十一、資通系統或服務委外辦理之管理措施。
十二、公務機關所屬人員辦理業務涉及資通安全事項之考核機制。
十三、資通安全維護計畫與實施情形之持續精進及績效管理機制。

資通安全維護計畫撰寫作業

第四頁  資通安全維護計畫內容,應包括資通安全管理法施行細則第6條規定之項目。另外,資通安全責任等級分級辦法之應辦事項亦應納入其中。



資通安全維護計畫撰寫作業

第十頁  本機關之資通安全政策及目標應每年透過教育訓練、內部會議、張貼公告等方式,向機關內所有人員進行宣導,並檢視執行成效。


資通安全維護計畫撰寫作業

第十頁  本機關應每年向利害關係人(例如IT服務供應商、與機關連線作業有關單位)進行資安政策及目標宣導,並檢視執行成效。


資通安全管理法施行細則

第四條  各機關依本法第九條規定委外辦理資通系統之建置、維運或資通服務之提供(以下簡稱受託業務),選任及監督受託者時,應注意下列事項:
一、受託者辦理受託業務之相關程序及環境,應具備完善之資通安全管理措施通過第三方驗證
二、受託者應配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員
三、受託者辦理受託業務得否複委託、得複委託之範圍與對象,及複委託之受託者應具備之資通安全維護措施
四、受託業務涉及國家機密者,執行受託業務之相關人員應接受適任性查核,並依國家機密保護法之規定,管制其出境。
五、受託業務包括客製化資通系統開發者,受託者應提供該資通系統之安全性檢測證明;該資通系統屬委託機關之核心資通系統,或委託金額達新臺幣一千萬元以上者,委託機關應自行或另行委託第三方進行安全性檢測;涉及利用非受託者自行開發之系統或資源者,並應標示非自行開發之內容與其來源及提供授權證明。
六、受託者執行受託業務,違反資通安全相關法令或知悉資通安全事件時,應立即通知委託機關及採行之補救措施。
七、委託關係終止或解除時,應確認受託者返還、移交、刪除或銷毀履行契約而持有之資料。
八、受託者應採取之其他資通安全相關維護措施。 九、委託機關應定期或於知悉受託者發生可能影響受託業務之資通安全事件時,以稽核其他適當方式確認受託業務之執行情形。

資通安全責任等級分級辦法之應辦事項

面向 辦理項目 A級 B級 C級
管理面 資通系統分級及防護基準 1年內 1年內 2年內
資訊安全管理系統通過公正第三方驗證 2年內 2年內 X
資通安全專職人員 1年內4人 1年內2人 1年內1人
內部資通安全稽核 每年2次 每年1次 每2年1次
業務持續運作演練(全部核心資通系統) 每年1次 每2年1次 每2年1次
資安治理成熟度評估
(舊版複本)(新版複本)
每年1次 每年1次 X
技術面 網站安全弱點檢測(全部核心資通系統) 每年2次 每年1次 每2年1次
系統滲透測試(全部核心資通系統) 每年1次 每2年1次 每2年1次
資通安全健診
(網路架構、網路惡意活動、使用者端電腦惡意活動、伺服器主機惡意活動、目錄伺服器設定及防火牆連線設定)
每年1次 每2年1次 每2年1次
資通安全威脅偵測管理機制 1年內 1年內 X
政府組態基準(GCB) 1年內 1年內 X
資通安全防護
(防毒軟體、網路防火牆、郵件伺服器者過濾機制)
1年內 1年內 1年內
資通安全防護
(入侵偵測及防禦機制IDS/IPS、具有對外服務之核心資通系統者應備應用程式防火牆WAF)
1年內 1年內 X
資通安全防護
(進階持續性威脅攻擊防禦措施APT)
1年內 X X
認知與訓練 資通安全教育訓練(資通安全及資訊人員) 每年
4人*12時
每年
2人*12時
每年
1人*12時
資通安全教育訓練(一般使用者及主管) 每年
3時
每年
3時
每年
3時
資通安全專業證照 1年內
4張
1年內
2張
1年內
1張
資通安全職能評量證書 1年內
4張
1年內
2張
1年內
1張

資通安全管理法

第十二條 公務機關應每年上級或監督機關提出資通安全維護計畫實施情形;無上級機關者,其資通安全維護計畫實施情形應送交主管機關。

資通安全管理法施行細則

第六條  .....提出資通安全維護計畫實施情形,應包括前項各款(一~十三)之執行成果及相關說明。

資通安全管理法

第十三條 公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。受稽核機關之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交稽核機關及上級或監督機關。

請按[PgDn]進一步了解資通安全維護計畫撰寫說明.....