跳到主要內容
網站顏色切換 深色模式
進階搜尋
關閉搜尋
:::

資通安全責任等級分級之應辦事項-資安專職人力及證照

資通安全專職人員,指全職執行資通安全業務者(請參閱資通安全責任等級分級辦法附表一備註三說明)。

  • 一、 資安專職人力之職務內容分策略面、管理面及技術面等三大面向,各面向內容如下:
    • (一)策略面:
      • 1. 機關(及所屬)資安政策、資源分配及整體防護策略之規劃。
      • 2. 機關導入資安治理成熟度之協調與推動。
      • 3. 資通安全維護計畫實施情形之績效評估與檢討。
      • 4.(屬上級或監督機關者)稽核所屬(或監督)公務機關之資通安全維護計畫實施情形。
    • (二)管理面:
      • 1. 訂定、修正及實施資通安全維護計畫並提出實施情形。
      • 2. 訂定及建立資通安全事件通報及應變機制。
      • 3. 辦理下列機關資通安全責任等級之應辦事項:資訊安全管理系統之導入及通過公正第三方之驗證、業務持續運作演練、辦理資通安全教育訓練等 。
      • 4.(屬上級或監督機關者)針對所屬(或監督)公務機關,審查其資通安全維護計畫及實施情形、辦理其資通安全事件通報之審核、應變協處與改善報告之審核。
      • 5. 委外廠商管理與稽核 。
    • (三)技術面:
      • 1. 整合、分析與分享資通安全情資 。
      • 2. 配合主管機關辦理機關資通安全演練作業 。
      • 3. 辦理下列機關資通安全責任等級之應辦事項:安全性檢測、資通安全健診、資通安全威脅偵測管理機制、政府組態基準、資通安全防護等 。
      • 4. (屬上級或監督機關者)針對所屬(或監督)公務機關,規劃及辦理資通安全演練作業。
  • 二、機關資安專職 人力之職務分工建議如下:
    • (一)A級機關置4名專職人力:1名負責策略面工作,1至2名負責管理面工作,另1至2名負責技術面工作 。
    • (二)B級機關置2名專職人力:1名負責策略面及管理面工作,另1名負責技術面工作。
    • (三)C級機關置1名專職人力統籌機關資安業務 。
  • 三、機關如兼屬資安法之中央目的事業主管機關,應對所轄之特定非公務機關辦理下列事項,如資安專職人力無法容納,建議由機關權責單位另派人力辦理,資安專職人員提供必要之協助。
    • (一)審查其資通安全維護計畫及其實施情形。
    • (二)稽核其資通安全維護計畫實施情形。
    • (三)辦理其資通安全事件之通報審核、應變協處、改善報告審核。
    • (四)訂定及修正機關特定非公務機關管理辦法。
    • (五)指定關鍵基礎設施提供者及訂定其防護基準。
    • (六)分享資通安全情資。
  • 一 、資安法施行後,各機關應優先於機關總員額內配置資安專職人力,惟為解決機關人力短時間調配問題,並配合數位專責機關籌設,如暫無缺額人力可支配,得先以約聘僱或委外人員擔任。
  • 二 、此外,建議資訊業務規模小之機關可考慮將資通系統及資源向上集中,由上級機關統籌辦理,減少機關自行維運之負擔 。向上集中辦理之經費,於實務上有上級機關統編或由各使用機關分攤等方式。

資通安全專職人員並未要求配置在資訊單位,也未要求由資訊職系人員擔任,惟機關應給予資通安全專職人員足夠的教育訓練,取得適當之資通安全專業證照及職能證書。

此無法達成專職專人之設置意義,機關應指定專人全職執行資通安全業務。

資通安全專業證照清單已公布於數位發展部資通安全署「資安法規專區」之「資安專業證照清單」(網址:https://moda.gov.tw/ACS/laws/certificates/676)。各機關如有新增資通安全專業證照或調整建議,請依資通安全專業證照認可審查作業流程,主管機關將按季受理審查,經審查認可之資通安全專業證照,將定期更新資通安全專業證照清單。

一、各機關可透過參加主管機關委由國家資通安全研究院統籌辦理之資通安全職能訓練,且完成指定上課時數並通過評量測驗後,即可取得資通安全職能訓練證書。

二、各機關亦可逕洽經主管機關認證之教育訓練機構申請開設資通安全職能訓練專班課程,相關申請資訊:資安人才培訓服務網 https://ctts.nics.nat.gov.tw/DownloadDetail/66

公務機關資通安全專職(責)人員至少持有資通安全專業證照及資通安全職能訓練證書各1張以上、特定非公務機關資通安全專責人員至少持有資通安全專業證照1張以上,並維持其證照或證書之有效性。至於其他資訊或資安相關人員,機關也應鼓勵同仁踴躍參加資安相關教育訓練,提升專業能力。

資通安全職能訓練係針對公務機關專職人員開設,將優先提供名額予公務機關同仁,其次開放給特定非公務機關人員參加,惟無法進行相關補助。

資安法規定專業證照及職能訓練證書之取得於初次受核定或等級變更後1年內完成,故有1年緩衝期。

專職人力配置的要求是以機關為單位,人力不能共用計算證照部分亦須以機關為單位分開計算。

依據資通安全責任等級分級辦法附表二、四、六等之規定,特定非公務機關須配置資安專責人員。資安專責人力是指機關應有專人負責資通安全事務,負責資通安全事務的人員即為專責人員,並無全職投入人力之要求,此與公務機關須配置專職人員之人力要求不同。(請參閱資通安全責任等級分級辦法附表一備註三說明)

資通安全專職人力如有異動,應於異動發生後立即派員受訓取得專業證照及職能證書。

  • 一 、「資通安全專業課程訓練」係泛指有助提升資通安全專責人員之資安策略、管理或技術訓練之課程,以使資安專責人力勝任其職務內容 。
  • 二 、「資通安全職能訓練」指經主管機關認證之資安訓練機構舉辦之資安職能訓練課程。
  • 三 、「資通安全通識教育訓練」係指資通安全相關之通識性概念課程,或機關內部資通安全管理規定之宣導課程。
  • 四 、為利資安課程時數統計,人事行政總處自 110年 1 月 1 日起,於公務人員終身學習入口網站之公務人員學習紀錄增加資安課程代碼:資通安全(通識) 代碼 522、資通安全(專業、職能) 代碼 523,各機關於統計學習時數時,可依代碼計算相關時數。
  • 一、資通安全職能訓練時數取得方式,係參加經主管機關認證之資安訓練機構舉辦之資安職能訓練。
  • 二、資通安全專業課程訓練係指可對應資安職能訓練發展藍圖中策略面、管理面、技術面(https://ctts.nics.nat.gov.tw/about/Training)之專業課程為原則,其相關時數,可透過以下方式取得:
    • (一)主管機關舉辦政府資通安全防護巡迴研討會,或所開設之資通安全策略、管理、技術相關課程、講習、訓練及研討(習)會。
    • (二)參加資通安全專業證照清單上所列之訓練課程。
    • (三)參加公私營訓練機構所開設或受委託辦理之資通安全策略、管理或技術訓練課程。訓練機構以下列型態為限:
      • 1.公私立大專校院。
      • 2.依法設立2年以上之職業訓練機構。
      • 3.依法設立2年以上之短期補習班。
      • 4.依法設立2年以上之學術研究機構或財團法人,其設立章程宗旨與人才培訓相關,且有辦理人才培訓業務。
  • 三、資通安全專業課程訓練原則應優先以實體課程方式進行,惟為因應機關特定需求,符合下列各項條件者,同意採線上課程方式取得資通安全專業課程訓練時數,惟每人每年認定上限為6小時:
    • (一)課程須上架至數位學習資源整合平臺「e等公務園+學習平臺」。
    • (二)課程內容須定期更新,課後須辦理評量,且評量內容應涵蓋授課範圍、具辨識度且定期調整。
    • (三)線上課程應提供「問題提問或諮詢」機制,其方式不拘。
23筆資料,第1/2頁,
返回頁面頂端