法規名稱：經濟部所管特定非公務機關資通安全管理作業辦法
公告日期：中華民國 115  年 3  月 5  日
公告文號：經資字第 11514403300  號
資料來源：行政院公報 第 32 卷 40 期
預告終止日：中華民國 115  年 3  月 13 日

經濟部所管特定非公務機關資通安全管理作業辦法修正草案總說明
經濟部所管特定非公務機關資通安全管理作業辦法（以下簡稱本辦法）於一百零八年
二月二十三日訂定發布，並於一百十一年一月二十五日修正發布。茲因資通安全管理
法（以下簡稱本法）於一百十四年九月二十四日修正公布，並自一百十四年十二月一
日施行，本辦法授權依據及引述之條文條次有所變動，另因應實務運作所需，爰擬具
本辦法修正草案，其修正要點如下：
一、修正本辦法訂定之依據。（修正條文第一條）
二、考量實務執行情形或其他不可抗力因素，如無法現場實地稽核者，得以書面審查
    、視訊訪談等其他適當方式辦理稽核，爰修正為可採實地稽核或其他適當之方式
    辦理。（修正條文第六條及第八條）
三、因應實務運作，修正將稽核結果報告送交主管機關之方式及期限。（修正條文第
    十條）



  第 一 章 總則
第 1 條    本辦法依資通安全管理法（以下簡稱本法）第二十二條規定訂定之。

第 2 條    本辦法所稱關鍵基礎設施提供者，指經濟部（以下簡稱本部）依本法第二
           十條第一項規定指定，送由主管機關報請行政院核定者。


  第 二 章 資通安全維護計畫必要事項及實施情形之提出
第 3 條    本部所管特定非公務機關（以下簡稱特定非公務機關）之資通安全維護計
           畫，應依本法施行細則第九條第一項規定辦理。
           特定非公務機關依本法第二十條第三項或第二十一條第二項規定提出資通
           安全維護計畫實施情形，應依本法施行細則第九條第二項規定辦理。

第 4 條    關鍵基礎設施提供者應於每年一月底前，依本部指定之方式提出當年度資
           通安全維護計畫。
           關鍵基礎設施提供者以外之特定非公務機關，經本部要求提出資通安全維
           護計畫者，應於收受本部通知後二個月內，依本部指定之方式提出。

第 5 條    關鍵基礎設施提供者應於每年一月底前，依本部指定之方式提出前一年度
           資通安全維護計畫實施情形。
           關鍵基礎設施提供者以外之特定非公務機關，經本部依本法第二十一條第
           二項規定要求提出資通安全維護計畫實施情形者，應於收受本部通知後二
           個月內，依本部指定之方式提出。


  第 三 章 資通安全維護計畫實施情形之稽核
第 6 條    本部除因不可抗力因素外，應於每年五月底前擇定關鍵基礎設施提供者，
           並得擇定其他特定非公務機關，以實地稽核或其他適當之方式，稽核其資
           通安全維護計畫實施情形。
           本部為辦理前項稽核，應訂定稽核計畫，其內容包括稽核之依據與目的、
           期間、稽核小組組成方式、保密義務、稽核方式、基準及項目等與稽核相
           關之事項。
           本部決定前項稽核之基準及項目時，應綜合考量我國資通安全政策、國內
           外資通安全趨勢、過往稽核成效及稽核資源等因素。
           本部依第一項規定擇定受稽核之特定非公務機關（以下簡稱受稽核者）時
           ，應綜合考量其資通安全責任等級、資通安全事件發生之頻率與程度、資
           通安全演練之成果、歷年受主管機關或本部稽核之頻率與結果及其他與資
           通安全相關之因素。

第 7 條    本部辦理前條第一項之稽核，應於一個月前將稽核計畫以書面通知受稽核
           者。
           受稽核者因業務因素或其他正當理由，未能於本部指定之時間配合稽核者
           ，得於收受前項通知後五日內，以書面敘明理由向本部申請變更稽核日期
           。
           前項申請，除有不可抗力之事由外，以一次為限。

第 8 條    本部辦理第六條第一項之稽核，得要求受稽核者為資通安全維護計畫實施
           情形之相關說明、協力或提供相關文件或證明供稽核小組查閱， 並執行
           下列事項：
           一、稽核前訪談。
           二、實地或其他適當方式之稽核。
           受稽核者依法律有正當理由，未能為前項說明、配合措施或提供資料時，
           應以書面敘明理由，向本部提出。
           本部收受前項書面後，應進行審核，依下列規定辦理，並得停止稽核作業
           之全部或一部：
           一、認有理由者，應將審核之依據及相關資訊記載於稽核結果報告。
           二、認無理由者，應要求受稽核者依第一項規定辦理；已停止稽核作業者
               ，得擇期續行辦理，並於十日前以書面通知受稽核者。

第 9 條    本部為辦理第六條第一項之稽核，應依同條第四項之考量因素及實際稽核
           需求，就各受稽核者分別組成稽核小組。
           前項稽核小組成員至少三人，由具備資通安全政策或該次稽核所需之技術
           、管理、法律或實務專業知識之公務機關代表或專家學者擔任；其中公務
           機關代表不得少於全體成員人數之四分之一。
           前項公務機關代表或專家學者有下列情形之一者，應主動迴避擔任該次稽
           核之稽核小組成員：
           一、本人、其配偶、三親等內親屬、家屬或上開人員財產信託之受託人，
               與受稽核者或其負責人間有財產上或非財產上之利害關係。
           二、本人、其配偶、三親等內親屬或家屬，與受稽核者或其負責人間，目
               前或過去一年內有僱傭、承攬、委任、代理或其他類似之關係。
           三、本人目前或過去一年內曾任職之機關（構）、事業或單位，曾為受稽
               核者進行與受稽核項目相關之顧問輔導。
           四、其他足認擔任稽核小組成員將影響稽核結果公正性之情形。
           本部應以書面與稽核小組成員約定利益衝突之迴避事項及執行稽核之保密
           義務。

第 10 條   本部應於稽核作業完成後二個月內，將稽核結果報告交付受稽核者。
           前項稽核結果報告之內容，應包括稽核之範圍、缺失或待改善事項、第八
           條第二項所定受稽核者未能為說明、配合措施或提供資料之情形與理由及
           其他相關事項。
           本部辦理稽核後，應彙整第一項稽核結果報告，並依主管機關指定之方式
           及期限送交主管機關。

第 11 條   受稽核者經發現其資通安全維護計畫實施情形有缺失或待改善者，應於收
           受稽核結果報告後一個月內，依本法施行細則第六條第一項規定及本部指
           定之方式，向本部提出改善報告。
           受稽核者依前項規定提出改善報告後，應依其缺失或待改善事項之性質及
           程度，適時以書面提出改善報告之執行情形；本部認有必要時，得要求受
           稽核者進行說明或調整。


  第 四 章 附則
第 12 條   本辦法所定書面，依電子簽章法之規定， 得以電子文件為之。

第 13 條   本辦法所定特定非公務機關提出資通安全維護計畫與其實施情形之通知、
           收受及該計畫實施情形之稽核事務，本部得委任所屬機關或委託其他公務
           機關辦理。
           前項受委任或委託之公務機關對於辦理受任或受託事務所獲悉特定非公務
           機關之秘密，不得洩漏。

第 14 條   本辦法自發布日施行。