跳到主要內容
網站顏色切換 深色模式
進階搜尋
關閉搜尋
:::

資通安全維護計畫撰寫及實施情形填報

一、資安法施行細則第6條第1項已訂有13款內容,詳細可參閱子法條文。
二、數位發展部資通安全署網站之資安法專區亦已提供範本 。
  • 一、依資安法施行細則第6條第3項規定,公務機關之資通安全維護計畫可由上級或監督機關代為辦理 。
  • 二、特定非公務機關之資通安全維護計畫可由其中央目的事業主管機關、中央目的事業主管機關所屬公務機關,或經中央目的事業主管機關同意,由其所管特定非公務機關辦理。
  • 一、有關公務機關資通安全維護計畫內容,已置於數位發展部資通安全署網站之資安法專區中。
  • 二、上級或監督機關、中央目的事業主管機關亦得視需要提供維護計畫範本供所屬或所管機關參用 。(參閱資安法第16、 17條說明)。

資通安全維護計畫援引之文件,原則上應做為附件一併提交惟如機關已通過CNS27001(ISO27001)驗證,所援引之文件係CNS27001(ISO27001)相關文件者應說明文件名稱及章節,除另有要求外,原則不需提交。

建議機關依資通安全維護計畫範本之章節次序撰寫,各機關如有特殊考量仍得依實務需求微調惟仍應包含所有規定項目。

若機關已有相關資安推動組織應於現行體制運作融入法規要求並進行調整即可無須另成立新推動組織;至於是否宜合併他機關組織進行運作,仍須視實務可行性而定(如機關資通業務多已向上級機關集中,則可行性較高)。

範本中所列之控制措施多為基本資安防護作業機關可依自身需求增加資安防護措施如機關經整體風險評估後,認為部分資安防護措施已有其他替代措施或不適用,亦可調整。

建議公務機關依此文件進行資安風險評鑑作業,俾利建立公務機關間一致性之作法與基準。

資安法施行細則第7條已明定核心業務之範圍,建議機關依此定義辨識機關之核心業務,另外機關亦可參考現行內部控制制度所選定業務項目或經業務衝擊影響分析(BIA)後所辨識之重要業務作為核心業務。

資安法施行細則第6條訂有資安維護計畫之內容框架,計畫內容則由機關依業務特性研擬資安防護作為,個人資料保護屬機關資料保護範圍之一環,相關保護措施可併入現有資料防護作業辦理,機關如經評估有強化個資保護之必要,可增強防護措施並呈現於資安維護計畫內。

資通安全維護計畫實施情形,各機關應依本身執行情形各自填報辦理情形,不可整併或彙整提報。惟考量部分機關人力問題,其上級、監督機關或上級政府可協助其至系統中填寫機關實施情形。

11筆資料
返回頁面頂端