资通安全管理法施行细则.PDFVIP

資通安全管理法施行細則 第一條 本細則依資通安全管理法(以下簡稱本法第二十二) 條規定訂定之。 第二條 本法第三條第五款所稱軍事機關，指國防部及其所 屬機關（構）、部隊、學校；所稱情報機關，指國家情報 工作法第三條第一項第一款及第二項規定之機關。 第三條 公務機關或特定非公務機關（以下簡稱各機關）依本 法第七條第三項、第十三條第二項、第十六條第五項或第 十七條第三項提出改善報告，應針對資通安全維護計畫 實施情形之稽核結果提出下列內容，並依主管機關、上級 或監督機關或中央目的事業主管機關指定之方式及時 間，提出改善報告之執行情形： 一、缺失或待改善之項目及內容。 二、發生原因。 三、為改正缺失或補強待改善項目所採取管理、技 術、人力或資源等層面之措施。 四、前款措施之預定完成時程及執行進度之追蹤方 式。 第四條 各機關依本法第九條規定委外辦理資通系統之建 置、維運或資通服務之提供（以下簡稱受託業務），選任 及監督受託者時，應注意下列事項： 一、受託者辦理受託業務之相關程序及環境，應具 備完善之資通安全管理措施或通過第三方驗 證。 二、受託者應配置充足且經適當之資格訓練、擁有 資通安全專業證照或具有類似業務經驗之資通 安全專業人員。 三、受託者辦理受託業務得否複委託、得複委託之 1 範圍與對象，及複委託之受託者應具備之資通 安全維護措施。 四、受託業務涉及國家機密者，執行受託業務之相 關人員應接受適任性查核，並依國家機密保護 法之規定，管制其出境。 五、受託業務包括客製化資通系統開發者，受託者 應提供該資通系統之安全性檢測證明；該資通 系統屬委託機關之核心資通系統，或委託金額 達新臺幣一千萬元以上者，委託機關應自行或 另行委託第三方進行安全性檢測；涉及利用非 受託者自行開發之系統或資源者，並應標示非 自行開發之內容與其來源及提供授權證明。 六、受託者執行受託業務，違反資通安全相關法令 或知悉資通安全事件時，應立即通知委託機關 及採行之補救措施。 七、委託關係終止或解除時，應確認受託者返還、移 交、刪除或銷毀履行契約而持有之資料。 八、受託者應採取之其他資通安全相關維護措施。 九、委託機關應定期或於知悉受託者發生可能影響 受託業務之資通安全事件時，以稽核或其他適 當方式確認受託業務之執行情形。 委託機關辦理前項第四款之適任性查核，應考量受 託業務所涉及國家機密之機密等級及內容，就執行該業 務之受託者所屬人員及可能接觸該國家機密之其他人 員，於必要範圍內查核有無下列事項： 一、曾犯洩密罪，或於動員戡亂時期終止後，犯內亂 罪、外患罪，經判刑確定，或通緝有案尚未結 案。 二、曾任公務員，因違反相關安全保密規定受懲戒 2 或記過以上行政懲處。