4.8. 資通安全責任等級分級辦法應辦事項列表中的資訊安全管理系統之導入及通過公正第三方驗證，提到全部核心資通系統需導入CNS 27001或ISO 27001等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準；請問如何認定同等或以上效果之資訊安全管理系統或標準？另所謂公正第三方驗證之「公正第三方」，是指那些機構？｜資通安全責任等級分級辦法應辦事項-其他 - 資安法常見問題 - 資安法規專區｜資通安全署 Administration for Cyber Security, moda

:::

4.8. 資通安全責任等級分級辦法應辦事項列表中的資訊安全管理系統之導入及通過公正第三方驗證，提到全部核心資通系統需導入CNS 27001或ISO 27001等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準；請問如何認定同等或以上效果之資訊安全管理系統或標準？另所謂公正第三方驗證之「公正第三方」，是指那些機構？

一、同等或以上效果之資訊安全管理系統或標準，係指資安法納管對象針對其特殊事業領域已有國際或國內慣用之特定資訊安全管理系統標準，且效果同等或高於CNS 27001或ISO 27001者。

二、有關公正第三方係指通過我國標準法主管機關（經濟部）委託機構（財團法人全國認證基金會，TAF）認證之機構，可至TAF官網之「認證名錄」查詢「管理系統驗證機構」（https://www.taftw.org.tw/directory/scheme/msv）。

三、考量第三方驗證作業之公正性及獨立性，機關如委外辦理ISMS輔導及驗證時，輔導案及驗證案之服務契約，應分別招標。

發布單位：資通安全署

建立日期：2022-06-23

更新日期：2024-09-30