資通安全責任等級分級之應辦事項-資安專職人力及證照
- 一、 資安專職人力之職務內容分策略面、管理面及技術面等三大面向,各面向內容如下:
- (一)策略面:
- 1. 機關(及所屬)資安政策、資源分配及整體防護策略之規劃。
- 2. 機關導入資安治理成熟度之協調與推動。
- 3. 資通安全維護計畫實施情形之績效評估與檢討。
- 4.(屬上級或監督機關者)稽核所屬(或監督)公務機關之資通安全維護計畫實施情形。
- (二)管理面:
- 1. 訂定、修正及實施資通安全維護計畫並提出實施情形。
- 2. 訂定及建立資通安全事件通報及應變機制。
- 3. 辦理下列機關資通安全責任等級之應辦事項:資訊安全管理系統之導入及通過公正第三方之驗證、業務持續運作演練、辦理資通安全教育訓練等 。
- 4.(屬上級或監督機關者)針對所屬(或監督)公務機關,審查其資通安全維護計畫及實施情形、辦理其資通安全事件通報之審核、應變協處與改善報告之審核。
- 5. 委外廠商管理與稽核 。
- (三)技術面:
- 1. 整合、分析與分享資通安全情資 。
- 2. 配合主管機關辦理機關資通安全演練作業 。
- 3. 辦理下列機關資通安全責任等級之應辦事項:安全性檢測、資通安全健診、資通安全威脅偵測管理機制、政府組態基準、資通安全防護等 。
- 4. (屬上級或監督機關者)針對所屬(或監督)公務機關,規劃及辦理資通安全演練作業。
- (一)策略面:
- 二、機關資安專職 人力之職務分工建議如下:
- (一)A級機關置4名專職人力:1名負責策略面工作,1至2名負責管理面工作,另1至2名負責技術面工作 。
- (二)B級機關置2名專職人力:1名負責策略面及管理面工作,另1名負責技術面工作。
- (三)C級機關置1名專職人力統籌機關資安業務 。
- 三、機關如兼屬資安法之中央目的事業主管機關,應對所轄之特定非公務機關辦理下列事項,如資安專職人力無法容納,建議由機關權責單位另派人力辦理,資安專職人員提供必要之協助。
- (一)審查其資通安全維護計畫及其實施情形。
- (二)稽核其資通安全維護計畫實施情形。
- (三)辦理其資通安全事件之通報審核、應變協處、改善報告審核。
- (四)訂定及修正機關特定非公務機關管理辦法。
- (五)指定關鍵基礎設施提供者及訂定其防護基準。
- (六)分享資通安全情資。
- 一 、資安法施行後,各機關應優先於機關總員額內配置資安專職人力,惟為解決機關人力短時間調配問題,並配合數位專責機關籌設,如暫無缺額人力可支配,得先以約聘僱或委外人員擔任。
- 二 、此外,建議資訊業務規模小之機關可考慮將資通系統及資源向上集中,由上級機關統籌辦理,減少機關自行維運之負擔 。向上集中辦理之經費,於實務上有上級機關統編或由各使用機關分攤等方式。
資通安全專業證照清單已公布於數位發展部資通安全署「資安法規專區」之「資安專業證照清單」(網址:https://moda.gov.tw/ACS/laws/certificates/676)。各機關如有新增資通安全專業證照或調整建議,請依資通安全專業證照認可審查作業流程,主管機關將按季受理審查,經審查認可之資通安全專業證照,將定期更新資通安全專業證照清單。
依據資通安全責任等級分級辦法附表二、四、六等之規定,特定非公務機關須配置資安專責人員。資安專責人力是指機關應有專人負責資通安全事務,負責資通安全事務的人員即為專責人員,並無全職投入人力之要求,此與公務機關須配置專職人員之人力要求不同。(請參閱資通安全責任等級分級辦法附表一備註三說明)
- 一 、「資通安全專業課程訓練」係泛指有助提升資通安全專責人員之資安策略、管理或技術訓練之課程,以使資安專責人力勝任其職務內容 。
- 二 、「資通安全職能訓練」指經數位發展部資通安全署認證之資安訓練機構舉辦之資安職能訓練課程。
- 三 、「資通安全通識教育訓練」係指資通安全相關之通識性概念課程,或機關內部資通安全管理規定之宣導課程。
- 四 、為利資安課程時數統計,人事行政總處將自 110年 1 月 1 日起,於公務人員終身學習入口網站之公務人員學習紀錄增加資安課程代碼:資通安全(通識) 代碼 522、資通安全(專業、職能) 代碼 523,各機關於統計學習時數時,可依代碼計算相關時數。
- 一、資通安全職能訓練時數取得方式,係參加經數位發展部資通安全署認證之資安訓練機構舉辦之資安職能訓練。
- 二、資通安全專業課程訓練係指可對應資安職能訓練發展藍圖中策略面、管理面、技術面(https://ctts.nics.nat.gov.tw/about/Training)之課程為原則,其相關時數,可透過以下方式取得:
- (一)參加國家資通安全研究院舉辦之政府資通安全防護巡迴研討會,或所開設之資通安全策略、管理、技術相關課程。
- (二)參加資通安全專業證照清單上所列之訓練課程。
- (三)參加公私營訓練機構所開設或受委託辦理之資通安全策略、管理或技術訓練課程。前述第3種辦理之訓練機構以下列型態為限:
- 1.公私立大專校院。
- 2.依法設立2年以上之職業訓練機構。
- 3.依法設立2年以上之短期補習班。
- 4.依法設立2年以上之學術研究機構或財團法人,其設立章程宗旨與人才培訓相關,且有辦理人才培訓業務。
- 三、資通安全專業課程訓練原則應優先以實體課程方式進行,惟為因應機關特定需求,符合下列各項條件者,同意採線上課程方式取得資通安全專業課程訓練時數,惟每人每年認定上限為6小時:
- (一)課程須上架至數位學習資源整合平臺「e等公務園+學習平臺」。
- (二)課程內容須定期更新,課後須辦理評量,且評量內容應涵蓋授課範圍、具辨識度且定期調整。
- (三)線上課程應提供「問題提問或諮詢」機制,其方式不拘。
- 四、嚴重特殊傳染性肺炎(COVID-19)疫情第二或第三級警戒期間,相關人員原排定之實體專業訓練及專業證照課程,得在開課單位與上課學員之合議下,改採遠距上課方式進行,不受第三點訓練時數認定上限及課程上架、定期更新及提供諮詢機制等限制。