資通安全管理法iPAS考試導讀

# 🛡️ 資通安全管理法：體系框架與 iPAS 必考重點 ## 一、核心法規體系 (1 個母法 + 7 個主要子法) > 📎 [資通安全管理法全文（數位發展部）](https://moda.gov.tw/ACS/laws/regulations/624) 1. **母法**：《資通安全管理法》（定義遊戲規則與適用範圍） 2. **子法 1**：《資通安全管理法施行細則》（名詞定義與維護計畫基礎）(第 34 條) 3. **子法 2**：《資通安全責任等級分級辦法》（依業務重要性劃分 A、B、C、D、E 級與防護基準）(第 7 條) 4. **子法 3**：《資通安全事件通報應變及演練辦法》（事件分級、通報時效、應變程序與演練要求）(第 10、17 條) > ⚠️ **考生注意**：本辦法於 **115年1月5日** 修正發布並更名，原名為《資通安全事件通報**及應變**辦法》，新名為《資通安全事件通報**應變及演練**辦法》，新增「演練」納入規範。如考題出現舊名，請留意是否為修法前的題目。 5. **子法 4**：《資通安全維護計畫實施情形稽核辦法》（上級機關的查核機制與 PDCA 精神）(第 8、16 條) 6. **子法 5**：《危害國家資通安全產品審查辦法》（供應鏈安全把關：審查認定與盤點移除）(第 11 條) 7. **子法 6**：《資通安全情資分享辦法》（打群架的聯防機制：情資分析、整合與分享）(第 9 條) 8. **子法 7**：《公務機關所屬人員辦理資通安全事項作業辦法》（人員究責與獎勵機制）(第 18、28 條) > ⚠️ 115/01/13 修正後，原「獎懲辦法」已更名擴充為「作業辦法」，題目若出現舊名要注意是修法前考題。 > 🎯 **常見考法**：題目會描述一個情境（如：委外廠商出資安事件、機關要做滲透測試、需要分享威脅情資），然後問「這是依據哪個辦法？」。務必記住每個子法「負責管什麼事」以及它對應母法的「授權條文」。 ![Gemini_Generated_Image_jp8yebjp8yebjp8y](https://hackmd.io/_uploads/B1tob8WKbl.png) --- ## 二、法規生命週期與關聯圖這裡將**母法 + 7 個子法**對應到資安管理的四個階段，幫助理解「哪部法管哪個階段」： > **一部母法 + 七部子法，走完「對象確認 → 事前 → 事中 → 事後」四個階段就是資安法的完整生命週期。** ![Gemini_Generated_Image_d3rvxed3rvxed3rv](https://hackmd.io/_uploads/B14yGwA_bx.png) > 圖：《資通安全管理法》適用對象與法規架構，修改至Gemini > 資料來源：修改自國家資通安全研究院 [《資通安全概論_新版教材_11501_v4》](https://ctts.nics.nat.gov.tw/DownloadDetail/70) * **對象確認**：依母法第 3 條釐清機關屬性（公務機關 vs 特定非公務機關）。 * **事前預防**：依**分級辦法**核定責任等級 → 依**施行細則**訂定維護計畫並落實防護基準 → 依**危害產品審查辦法**盤點移除風險產品。 * **事中應變**：遭遇事件時，依**通報應變及演練辦法**的時效要求進行處置，同時依**情資分享辦法**與其他機關聯防。 * **事後改善**：接受**稽核辦法**的查核並提出改善報告，依**作業辦法**對有功人員獎勵、疏失人員究責，確保持續進步。 --- ## 三、 iPAS 考前衝刺：8 大法規必考核心對照不要死背條文，請記住這 8 部法規在資安管理中「各自負責解決什麼問題」。以下是各法規在 iPAS 考試中最常出現的重點： | # | 法規 | 考試頻率 | 常考內容 | |:---:|------|:---:|------| | 1 | 《資通安全管理法》（母法） | ★★★★★ | 適用對象、公務機關定義、立法目的、罰則 | | 2 | 《資通安全事件通報應變及演練辦法》 | ★★★★★ | 通報/審核/復原時限、事件分級、演練種類 | | 3 | 《資通安全責任等級分級辦法》 | ★★★★ | A～E 級條件、A 級應辦數字、附表 | | 4 | 《資通安全管理法施行細則》 | ★★★★ | 委外管理（§7）、維護計畫 13 項 | | 5 | 《資通安全維護計畫實施情形稽核辦法》 | ★★ | 稽核頻率、PDCA 精神 | | 6 | 《危害國家資通安全產品審查辦法》 | ★ | ⭐ 114 年新增，尚未出題，預測考情資分享 | | 7 | 《資通安全情資分享辦法》 | ★ | 分享對象、聯防概念 | | 8 | 《公務機關所屬人員辦理資通安全事項作業辦法》 | ★ | 獎懲機制，幾乎不考 | > 💡 **備考策略**：前 4 部法規佔了 iPAS 資安法考題的 **九成以上**，集中火力在這裡。後 4 部知道功能定位即可，不用背條文。 ### 1. 【母法】《資通安全管理法》：定下遊戲規則與天花板 > **🎯 考前衝刺：母法前三條必拿基本分** > 前三條是歷屆選擇題的常客，請務必掌握以下法條細節與觀念： #### 【第 1 條：立法目的】 * **核心關鍵字**：保障**國家安全**，維護**社會公共利益**。 * ⚠️ **考場陷阱**：選項若出現「保障企業獲利」或「促進產業發展」皆為誘答陷阱，請緊扣「國家安全」與「公共利益」。 #### 【第 2 條：主管與執行機關】(極易混淆！) * **主管機關**：數位發展部（二級機關）。 * **執行機關**：由數發部指定的「資安專責機關」（實務上指：**數位發展部資通安全署**，為三級機關）。 * ⚠️ **考場陷阱**：考題常把「國家資通安全研究院 (NICS)」放進選項。請記住，資安院是負責技術支援的「行政法人」，**不是**政府行政機關，沒有公權力執行此法條的專責業務！千萬別選錯。 #### 【第 3 條：名詞定義與適用範圍】(🔥 選擇題一級戰區) **重點 1：公務機關的「例外排除」** * **定義**：依法行使公權力之中央、地方機關（構）或公法人。但不包括**軍事機關**及**情報機關**。 * 💡 **觀念秒懂**：因為軍事與情報機關受更嚴格的特種法規（如《國家機密保護法》）規範，故不適用本法。 **重點 2：特定非公務機關的「擴大納管」 (修法大重點)** * **新法擴大**：除原有的「關鍵基礎設施(CI)」與「公營事業」外，新增納管了 **「特定財團法人」**與**「受政府控制之事業、團體或機構」**。 * 💡 **觀念秒懂**：修法是為了防堵漏洞。過去有些實質受政府控制或接受大量政府補助的法人機構，會規避資安規範。現在只要具備「資安重要性」且受政府實質控制，一律納管。 **重點 3：關鍵基礎設施 (CI) 領域的更新** * **現有領域**：能源、水資源、通訊傳播、交通、金融、緊急救援與醫院、政府機關、科學園區與工業區。 * 🌟 **新法考點**：請特別注意新增了 **「糧食（農業）」** 領域。 **重點 4：新增「危害國家資通安全產品」定義** * **定義**：對國家資安具有直接或間接危害風險，影響政府運作或社會安定的系統、服務或產品。 * 💡 **觀念秒懂**：因應近年頻傳的供應鏈攻擊（如特定廠牌設備藏有後門），新法直接定義並授權訂定審查機制。這代表「設備合規採購與供應鏈安全」絕對是命題核心。 #### 【第 12 條：資安長】(🌟 新增條文) * **規定**：公務機關應置資通安全長，由機關首長指派**副首長**或適當人員兼任，負責推動及監督機關內資通安全相關事務。 * 💡 **觀念秒懂**：修法前僅以行政命令要求，新法直接入母法明定，拉高資安治理的法律位階。 * ⚠️ **考場注意**：「副首長」層級是常見考點，類似考試曾出題考資安長的位階要求。選項若出現「資訊主管」、「一般主管」等較低層級，皆為誘答。 #### 【第 19 條：資安人員適任性查核】(🌟 新增條文) * **規定**：公務機關得對資安專職人員進行適任性查核；主管機關亦得對資安人員任用考試錄取人員進行查核。拒絕查核或未通過者，**不得辦理涉及國家機密、軍事機密及國防秘密之資通安全業務**。 * 💡 **觀念秒懂**：此條反映兩岸關係下的人員安全疑慮——資安人員能接觸國家最核心的系統與機密，若有不當背景或關聯，風險極高。新法賦予機關法源依據進行身家調查式的適任性把關。 * ⚠️ **考場注意**：注意法條效果是「不得辦理涉密業務」，**不是直接免職或解聘**，而是限縮其可接觸的業務範圍。 > 📝 **法律用語小提醒**：讀法條時注意「**應**」跟「**得**」的差別。「應」= 一定要做（強制義務）；「得」= 可以做也可以不做（裁量權限）。例如本條第 1 項用「**得**對所屬人員查核」，表示機關有裁量空間；但查核未通過的效果用「**不得**辦理涉密業務」，就是強制禁止。 #### 【第 25 條：重大資安事件調查權】(🌟 新增條文) * **規定**：中央目的事業主管機關為調查特定非公務機關發生之**重大資通安全事件**，得採取以下措施： 1. 通知當事人或關係人到場**陳述意見** 2. 要求提出**獨立第三方機構**出具之鑑識或調查報告 3. **派員實施必要之檢查**（或委任/委託其他機關辦理） * 💡 **觀念秒懂**：修法前對特定非公務機關發生資安事件，主管機關缺乏法源進行強制調查。新法賦予調查權，讓主管部會能要求當事人配合，不配合者可依罰則處罰。 * ⚠️ **考場注意**：注意主體是「**中央目的事業主管機關**」（如金管會、交通部），不是數位發展部。另外三個手段是「**得**」（裁量），不是每次都要全做。 #### 【罰則速查】(第 29-31 條) 特定非公務機關的罰鍰重點： | 違規情形 | 罰鍰範圍 | 條文 | |---------|---------|------| | **未通報**資安事件 | 30萬 ~ **1,000萬** | 第 29 條 | | 未訂維護計畫、未提報實施情形、未提改善報告、未訂通報應變機制等（限期改正後仍未改正） | 10萬 ~ **500萬** | 第 30 條 | | **規避、妨礙或拒絕**重大事件調查 | 10萬 ~ **100萬** | 第 31 條 | > 💡 **記憶口訣**：罰最重的是「**不通報**」（1,000萬），其次是「**不改正**」（500萬），最輕是「**不配合調查**」（100萬）。邏輯就是：出事不講最嚴重。 #### 💡 實務考點：關鍵基礎設施的認定機制 **認定流程（常考角色混淆）** | 步驟 | 負責機關 | 說明 | |------|---------|------| | 1. 指定關鍵基礎設施提供者 | **中央目的事業主管機關**（如：交通部、金管會） | 各領域的主管部會，最清楚誰重要 | | 2. 報請核定 | **主管機關**（數位發展部）→ 報請**行政院** | 資安法的總管家，彙整上報 | | 3. 書面通知 | 通知受核定者 | 被指定後須在一定時間內開始履行資安責任 | > ⚠️ **考場陷阱**：「中央目的事業主管機關」≠「主管機關」。前者是各領域部會（交通部、金管會等），後者是數位發展部。考題常故意對調混淆。 **認定標準**：不看公司規模大小，而看服務的 **「不可替代性」** 與 **「對社會公共利益的影響力」**。 **關鍵基礎設施名單是否公開？**：目前**不主動公開具體名單**，僅公告 8+1 大領域（能源、水資源、通訊傳播、交通、金融、緊急救援與醫院、政府機關、科學園區與工業區、糧食）。 > 參考資料：iTHOME [《資安法》實施五年首度大修法！主管機關啟動資安法修法程序 - 為什華航是關鍵基礎設施，長榮不是](https://www.ithome.com.tw/news/159729) #### 💡 實務考點釐清：身分重疊時的「適法性位階」在實務或考題情境中，一個單位可能會同時具備多重身分。當身分重疊時，法規適用的優先順序（嚴格程度）是由上往下遞減的： **🥇 第一順位：公務機關** 只要該單位具備「公務機關」（政府機關）的身分，無論它底下管什麼業務，一律最優先適用公務機關的最高規範。出事了就是走行政懲處。 **🥈 第二順位：關鍵基礎設施提供者** 如果是「特定非公務機關」，則優先看它有沒有被國家指定為關鍵基礎設施。因為關鍵基礎設施牽涉國家命脈，其防護基準與通報要求最嚴格。 **🥉 第三順位：公營事業 / 政府捐助之財團法人** 如果沒有被指定為關鍵基礎設施，才會回歸到一般公營事業或財團法人的規範標準。 > **🎯 考場情境舉例：** > 假設有一家大型的「公股銀行」（本質是公營事業），因為其負責極度重要的金融結算業務，被國家指定為金融領域的「關鍵基礎設施」。 > **適用判定**：在資安法的要求下，它必須優先適用 **「關鍵基礎設施」** 的高標準來進行合規與稽核，而不是只看「公營事業」的最低門檻。 ![image](https://hackmd.io/_uploads/HJXUewpO-e.png) > 圖：法規適用對象之優先順序 > 資料來源：國家資通安全研究院 [《資通安全概論_新版教材_11501_v4》](https://ctts.nics.nat.gov.tw/DownloadDetail/70) --- ### 2. 【子法】《資通安全管理法施行細則》：名詞解釋與委外防線 #### 【第 7 條：委外管理】(🔥 超級大考點) 委外辦理資通系統建置、維運或資通服務時，選任及監督受託者應注意的 **8 大事項**： | # | 事項 | 考試關鍵字 | |---|------|-----------| | 1 | 受託者應配置充足且有**資安專業證照或經驗**之人員 | 人員資格 | | 2 | 是否允許**複委託**、範圍與對象、複委託者應具備之資安措施 | 複委託管控 | | 3 | 涉及**國家機密**者，相關人員應接受**適任性查核**並依《國家機密保護法》**管制出境** | 涉密查核 | | 4 | **客製化系統開發**應提供安全性檢測證明；屬核心系統或委託金額 **≥ 1,000萬**者，應由委託機關自行或委託**第三方檢測**；非自行開發的部分應標示來源及授權 | 1,000萬門檻 | | 5 | 受託者違反資安法令或知悉資安事件時，應**立即通知**委託機關 | 即時通報 | | 6 | 委託關係終止時，確認受託者**返還、移交、刪除或銷毀**持有之資料 | 資料處置 | | 7 | 受託者應採取之其他資安維護措施 | 概括條款 | | 8 | 委託機關應**定期稽核**或於知悉資安事件時確認執行情形 | 稽核權 | > ⚠️ **必記重點**： > - **業務可委外，責任不可委外**——最終資安究責仍在委託機關。 > - **複委託**需經委託機關同意（嚴格限制轉包）。 > - **1,000萬元門檻**：客製化核心系統或金額達此標準，必須第三方檢測。 > - 委託機關保有**稽核權 (Right to Audit)**，受託者不得拒絕。 #### 適任性查核的排除條件（第 7 條第 2 項）涉及國家機密的委外案，查核人員有無以下情形： 1. 犯**妨害電腦使用罪**經判決確定或通緝中 2. 犯**洩密罪、內亂罪、外患罪**經判決確定或通緝中 > 📝 **記憶小幫手**：注意法條寫「洩密罪」沒有限時間，但「內亂罪、外患罪」特別加了「**動員戡亂時期終止後**」。因為戒嚴時期的法律環境與現今不同，當時的判決背景較為特殊，不適合直接作為現行資安人員的排除依據。但洩密就是洩密，不管哪個時代都不行，所以沒有時間限制。 3. 曾任公務員，因違反安全保密規定受**懲戒或記過以上** 4. 曾受**外國政府、大陸地區、港澳政府**之利誘脅迫，從事不利國安情事 5. 其他與國家機密保護相關之具體項目 > 💡 **觀念秒懂**：第 4 款反映兩岸關係下的供應鏈人員安全風險，與母法第 19 條（資安人員適任性查核）精神一致。 > > ⚠️ 查核前須經**當事人書面同意**，且應記載於招標公告、招標文件及契約。 #### 【第 9 條：資通安全維護計畫應包含事項】(考出來就送他，誰背得出來，有印象就好) 維護計畫共 **13 項**，考法通常是「以下哪項**不在**維護計畫內？」： | # | 項目 | |---|------| | 1 | 核心業務及其重要性 | | 2 | 資通安全政策及目標 | | 3 | 資通安全推動組織 | | 4 | 專職人力及經費之配置 | | 5 | 資通安全長之配置 | | 6 | 資通系統之盤點（標示核心資通系統及相關資產） | | 7 | 資通安全風險管理 | | 8 | 資通安全防護及控制措施 | | 9 | 資通安全事件通報、應變及演練相關機制 | | 10 | 資通安全情資之評估及因應機制 | | 11 | 資通系統或服務委外辦理之管理措施 | | 12 | 所屬人員辦理業務涉及資通安全事項之考核機制 | | 13 | 維護計畫與實施情形之持續精進及績效管理機制 | #### 【第 10 條：核心業務與核心資通系統的認定】(認定條件愛考) **怎麼認定「核心業務」？** 符合以下任一條件： | # | 認定條件 | 白話 | |---|---------|------| | 1 | 依組織法規，足認為機關**核心權責**所在 | 看組織法就知道你該做什麼 | | 2 | 維運、提供**關鍵基礎設施所必要**之業務 | CI 相關的一定算 | | 3 | 公營事業、特定財團法人等之**主要服務或功能** | 你的招牌業務 | | 4 | 依分級辦法第 4、5 條所涉及之業務 | A 級看「**全國性**」，B 級看「**區域性或地區性**」級的認定條件本身就代表核心業務 | **怎麼認定「核心資通系統」？** 符合以下任一條件： | # | 認定條件 | 白話 | |---|---------|------| | 1 | 支持**核心業務持續運作必要**之系統 | 這系統掛了，核心業務就停擺 | | 2 | 依分級辦法附表九，防護需求等級判定為 **「高」** | 不管支援什麼業務，等級到了就算，機密性、完整性、可用性和法遵性四個構面 | > ⚠️ **考場注意**：核心資通系統的兩個認定條件是「**或**」的關係——不一定要支援核心業務，只要防護需求等級為「高」也算。 #### 【第 12 條：資安事件調查、處理及改善報告應包含事項】(考出來就送他，誰背得出來，有印象就好) 報告共 **7 項**，考法同樣是「以下哪項**不在**報告內？」： | # | 項目 | |---|------| | 1 | 事件發生或知悉、完成損害控制或復原之時間 | | 2 | 事件影響之範圍及損害評估 | | 3 | 損害控制及復原作業之歷程 | | 4 | 事件調查及處理作業之歷程 | | 5 | 事件根因分析 | | 6 | 防範類似事件再次發生所採取之管理、技術、人力或資源措施 | | 7 | 措施之預定完成時程及成效追蹤機制 | --- ### 3. 【子法】《資通安全責任等級分級辦法》：依風險決定防護強度 - **分級標準**：依據「核心業務重要性」與「保有個人資料筆數」等條件，將機關劃分為 A、B、C、D、E 五級。 - **防護基準（愛考數字）**：不同等級機關在「弱點掃描」、「滲透測試」、「資安健診」等技術防護措施上，有不同的實施頻率要求（例如 A 級要求最嚴格、頻率最高）。 #### 📋 責任等級分級速查 | 等級 | 說明 | |------|------| | A級 | 全國性重要機關 | | B級 | 區域或地區性重要機關 | | C級 | 自行或委外設置、開發資通系統者 | | D級 | 自行辦理資通業務，但未維運資通系統者 | | E級 | 無資通系統且未提供資通服務者 | > 💡 **舉例**：比方說國中小學都有學校網站，集中向上到教育部，就屬於D級，有業務但不是自己維運。 > 💡 **曾考過**：公立**醫學中心** → A 級；公立**區域醫院或地區醫院** → B 級。 > ⚠️ **高頻考點**：資安演練的**作業類型/項目**（社交工程演練、通報應變演練、網路攻防演練、情境演練等）是規定在**通報應變及演練辦法**。113 年和 114 年都考過，114 年甚至連考三題，答案都是通報應變及演練辦法！分級辦法附表規定的演練只有「**營運持續計畫演練**」（A 級每年 1 次）。 --- ### 4. 【子法】《資通安全事件通報應變及演練辦法》：火場逃生與平時演練 - **事件分級**：依據資料外洩、系統中斷的嚴重程度，將資安事件判定為 1、2、3、4 級（4 級最嚴重）。 - **通報與應變時效（必背）**： - 發現事件後「幾小時內」必須完成通報？ - 針對不同等級的事件，必須在「幾小時內」完成損害控制或復原？ #### 📋 資通安全事件分級標準 ![image](https://hackmd.io/_uploads/ry06bAsVZe.png) #### 📋 資通安全事件通報時限 ![image](https://hackmd.io/_uploads/By5CbCjN-g.png) #### 📋 通報內容 7 項（第 3 條）：就是要通報什麼 | # | 項目 | |---|------| | 1 | 發生機關 | | 2 | 發生或知悉時間 | | 3 | 狀況之描述 | | 4 | 等級之評估 | | 5 | 因應事件所採取之措施 | | 6 | 外部支援需求評估 | | 7 | 其他相關事項 | #### 📋 通報作業規範 7 項（第 4 條）：就是通報的流程 | # | 項目 | |---|------| | 1 | 判定事件等級之流程及權責 | | 2 | 影響範圍、損害程度及機關因應能力之評估 | | 3 | 內部通報流程 | | 4 | 通知受影響之其他機關之方式 | | 5 | 前四款事項之**演練** | | 6 | 通報窗口及聯繫方式 | | 7 | 其他通報相關事項 | #### 📋 應變作業規範 6 項（第 5 條）：發生事情時如何應變和平時演練計畫 | # | 項目 | |---|------| | 1 | 應變小組之組織 | | 2 | 事件發生**前**之演練作業 | | 3 | 事件發生**時**之損害控制機制 | | 4 | 事件發生**後**之復原、鑑識、調查及改善機制 | | 5 | 事件相關紀錄之保全 | | 6 | 其他應變相關事項 | > 💡 第 5 條就是一個迷你版的 **Before → During → After** 框架，好記。 #### 📋 演練作業（第 10、16 條） **公務機關自辦演練（第 10 條）**：總統府、國安會與五院直屬機關應規劃辦理，完成後 **1 個月內**送成果報告給主管機關。 | # | 項目 | 頻率 | |---|------|------| | 1 | 社交工程演練 | 每**半年** 1 次 | | 2 | 資通安全事件通報及應變演練 | 每**年** 1 次 | **主管機關規劃演練（第 16 條）**：公務機關應配合受通報機關規劃之演練，項目包括： | # | 項目 | |---|------| | 1 | 社交工程演練 | | 2 | 資通安全事件通報及應變演練 | | 3 | 網路攻防演練 | | 4 | 情境演練 | | 5 | 其他必要之演練 | > ⚠️ 注意差異：第 10 條自辦是「**應**」＋有明確頻率，第 16 條配合是「**得**」包括＝項目彈性較大。 --- ### 5. 【子法】《資通安全維護計畫實施情形稽核辦法》：上級機關的查核機制與 PDCA 精神 > ⭐ 114年修法前只有「**特定非公務機關**」的稽核辦法，修法後擴充為統一的稽核辦法，**公務機關也納入**（依母法第 8 條及第 16 條）。 - **公務機關**：由**上級或監督機關**每年訂定稽核計畫，稽核所屬機關資安維護計畫實施情形。主管機關（數位發展部）亦得定期或不定期稽核。 - **特定非公務機關**：主管機關得擇定受稽核機關，組成稽核小組進行現場實地稽核。 - **缺失改善**：受稽核機關必須針對缺失提出改善報告，確保持續改善。 **稽核計畫應包含事項（第 5 條）**： | # | 項目 | |---|------| | 1 | 稽核依據 | | 2 | 稽核目的 | | 3 | 稽核範圍 | | 4 | 作業期程 | | 5 | 稽核小組組成方式 | | 6 | 保密義務 | | 7 | 受稽核機關遴選原則 | | 8 | 稽核基準 | | 9 | 稽核方式及項目 | > 💡 跟內部稽核（IIA）的稽核計畫精神一致：Why → What → Who → How → When，只是多了政府特有的「保密義務」和「遴選原則」。 --- ### 6. 【子法】《危害國家資通安全產品審查辦法》：供應鏈安全把關（⭐ 114年修法新增） > 💡 立法背景：2022 年裴洛西訪台期間，全台 7-Eleven 電子看板遭駭客竄改為政治標語。母法第 11 條特別將「公眾視聽之傳播設備」納入規範，本辦法即據此訂定。 **審查流程圖解**：一般產品（非大陸廠牌）： ``` 機關提報 → 審查物料清單（第4條第3款）→ 必要時開會討論（第4款） → 認定為危害產品 → 情資分享給各機關（第5條）→ 各機關盤點移除（第6條） ``` 大陸廠牌快速通道（第 4 條第 2 款）： ``` 機關提報 → 直接跳到第5條情資分享 → 各機關盤點移除（第6條） ``` > ⚠️ 大陸廠牌不用走物料清單審查，**逕行**情資分享＝推定有風險，直接通知全體機關。 **專案例外使用的限制（第 7 條）**：就算因業務需求經核准使用，仍須遵守： | 限制項目 | 內容 | |---------|------| | 使用範圍 | 指定**特定區域、特定人員** | | 傳播限制 | **不得**傳播影像或聲音供不特定人收視收聽 | | 替代方案 | **定期確認**有無其他替代方案 | | 不需要時 | 立即**銷毀或封存** | > 🔑 **常見問題：清單在哪裡下載？** > > **沒有公開清單。** 依第 5 條，認定結果以「**情資分享**」方式通知公務機關，不對外公告。114 年修法後，禁用大陸廠牌已從行政命令（行政院 109 年函）**升格為法律**（母法第 11 條：公務機關不得下載、安裝或使用危害國家資通安全產品）。如因業務需求且無替代方案，須依審查辦法第 7 條經**逐級核定**，以專案方式使用。 > > 💡 **預測考點**：115 年可能出「危害產品認定結果如何讓機關知悉？」→ 答案：**情資分享**（第 5 條）。 --- ### 7. 【子法】《資通安全情資分享辦法》：打群架的聯防機制 **情資定義（第 2 條）**：包含 7 款，重點如惡意偵察活動、安全漏洞、惡意程式資訊、事件損害影響、偵測預防措施等。 **分享流程（第 3 條）**： | 分享關係 | 義務程度 | |---------|---------| | 主管機關 ↔ 公務機關 | **應互相**分享 | | 中央目的事業主管機關 ↔ 特定非公務機關 | **應互相**分享 | | 已分享或已公開之情資 | 無須再行分享 | > 💡 114 年修法重點：舊版特定非公務機關是「**得**」分享（自願），新版改為「**應互相**」分享（強制）。全面雙向義務化。 **不得分享的例外（第 4 條）**：涉及營業秘密或依法應保密者不得分享，但為公益或保護人民生命健康必要者例外。含有不得分享內容時，得僅就其他部分分享。 --- ### 8. 【子法】《公務機關所屬人員辦理資通安全事項作業辦法》：胡蘿蔔與棒子 - **獎懲機制**：針對推動資安有功人員給予獎勵；對發生資安事件且有疏失的人員進行究責與懲處。 --- ## 📝 iPAS 歷屆考古題：依考點分類（108～114 年，去重版） > 108～114 年初級（I11）及中級（I21）資安法相關考題，去除重複後按考點分類。 > 概念相同的題目只保留最具代表性的一題，並標註「📅 曾出現年度」供參考出題頻率。 --- ### 🏷️ A. 立法目的與名詞定義 --- **Q1. 資安法的立法目的（vs 其他法規混淆）** 📅 113 關於中華民國「資通安全管理法」之條文內容，下列何項正確？ - (A) 為保障著作人著作權益，調和社會公共利益，促進國家文化發展 - (B) 為保障營業秘密，維護產業倫理與競爭秩序，調和社會公共利益 - \(C\) 為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用 - (D) 為積極推動國家資通安全政策，加速建構國家資通安全環境，以保障國家安全，維護社會公共利益 <details> <summary>查看答案</summary> **(D)**：資安法第 1 條。A = 著作權法、B = 營業秘密法、C = 個資法。 </details> --- **Q2. 公務機關定義：排除軍事與情報機關** 📅 112 關於資通安全管理法所定義「公務機關」的敘述，下列何者正確？ - (A) 依法行使公權力之軍事機關 - (B) 依法行使公權力之中央機關、地方機構 - \(C\) 依法行使公權力之情報機關 - (D) 政府捐助並依法行使公權力之財團法人 <details> <summary>查看答案</summary> **(B)**：公務機關 = 中央、地方機關（構）或公法人。**排除軍事與情報機關**（施行細則第 2 條）。D 是特定非公務機關。 </details> --- ### 📋 B. 適用對象與法規判斷 --- **Q3. 一般民間上市櫃公司不適用資安法（複選）** 📅 111、112、113（反覆出現） Z 公司為台灣上市櫃公司（3C 零售商），營運據點遍及歐洲及台灣。下列哪些法規為該公司必須遵守之法令規範？ - (A) 個人資料保護法（中華民國） - (B) 上市上櫃公司資通安全管控指引（中華民國） - \(C\) 資通安全管理法（中華民國） - (D) 歐盟一般資料保護規則（GDPR） <details> <summary>查看答案</summary> **(A)(B)(D)**：C 不選！一般民間上市櫃公司不是公務機關、也未被指定為特定非公務機關 → **不適用資安法**。但須遵循金管會指引、GDPR（歐洲營運）、個資法。 > 💡 此概念 111、112、113 年反覆出現（上市企業、貨車租賃公司等），是**固定陷阱**。 > > ⚠️ 注意變化：若題目說公司是「**特定非公務機關**」，就要選資安法（如 113-2 Q40 的 M 公司）。**看清題目的公司身分！** </details> --- **Q4. 公務機關違規 = 懲戒懲處（不罰錢）** 📅 111 關於公務機關未遵守資通安全管理法規定的敘述，下列何者正確？ - (A) 應依相關規定按次處新臺幣十萬元以上一百萬元以下罰鍰 - (B) 應依相關規定按次處新臺幣三十萬元以上五百萬元以下罰鍰 - \(C\) 應按其情節輕重，依相關規定予以懲戒或懲處 - (D) 應依相關規定按次處新臺幣三萬元以上五十萬元以下罰鍰 <details> <summary>查看答案</summary> **\(C\)**：公務機關走**懲戒/懲處**（作業辦法），不罰錢。**罰鍰只適用於特定非公務機關**（母法第 21 條）。 </details> --- **Q5. 從業務性質判斷適用法規** 📅 113 某 A 級公務機關（辦理全國全民健康保險業務），對於法規遵循事項所應遵循之法律規範，下列何項較為合適？ - (A) 應遵循智慧財產權法以及資通安全管理法之規定 - (B) 應遵循個人資料保護法以及資通安全管理法之規定 - \(C\) 應遵循智慧財產權法以及個人資料保護法之規定 - (D) 應遵循著作權法以及個人資料保護法之規定 <details> <summary>查看答案</summary> **(B)**：全民健保 = 大量個資 → 個資法；公務機關 → 資安法。兩者都要。 </details> --- **Q27. 外國公司不適用台灣資安法（複選陷阱）** 📅 113 英國電子商務平台遭駭客入侵導致個資外洩，下列哪些處理程序正確？ - (A) 依資通安全管理法 2 小時內通報主管機關 - (B) 依 GDPR 1 週內通報個資外洩 - \(C\) 至公開資訊觀測站發布重大訊息 - (D) 發布程序應遵循公司內部程序 <details> <summary>查看答案</summary> **\(C\)(D)**： - A 錯：英國公司**不適用台灣資安法**，且通報時限是 1 小時不是 2 小時（雙重陷阱） - B 錯：GDPR 規定是 **72 小時**內通報，不是 1 週 > 💡 **上課討論點**：這題陷阱很多層。第一層：外國公司根本不適用台灣資安法。第二層：就算適用，時限也不是 2 小時而是 1 小時。第三層：GDPR 的 72 小時也被偷改成 1 週。一題考三個法規的時限辨認。 </details> --- **Q28. 上市櫃公司的資安法規遵循重點** 📅 112 發現公司並未依照法規（資安法與上市上櫃資通安全管控指引）定期進行相關作為，下列何者正確？ - (A) 公司可以不需配置資安長，只需配置適當資安人力 - (B) 公司遭受重大資安事件，不需揭露相關資安事件重大訊息 - \(C\) 強制公司加入台灣電腦網路危機處理暨協調中心 - (D) 資安納入內部控制，以及資安納入公司治理評鑑 <details> <summary>查看答案</summary> **(D)**：上市櫃公司須將資安納入**內部控制**及**公司治理評鑑**。 - A 錯：一定資本額以上須配置資安長 - B 錯：重大資安事件須揭露重大訊息 - C 錯：沒有「強制加入 TWCERT」的規定 > 💡 這是 I22（防護實務）唯一考資安法的題目，角度跟 I11/I21 不同：不考法條背誦，考的是**上市櫃公司實務**。 </details> --- ### 🏷️ C. 責任等級分級 --- **Q6. 五級分法 + 國家機密 = A 級** 📅 110、113 關於資通安全責任等級分級辦法，下列敘述何者正確？ - (A) 資通安全管理法規範資通安全責任等級，分為 A 至 D 級 - (B) 公務機關應每三年核定其所屬機關資通安全責任等級 - \(C\) 公務機關其負責業務有涉及國家機密，其資通安全責任等級即為 A 級 - (D) 各公務機關未維運自行或委外開發之資通系統者，其資通安全責任等級為 C 級 <details> <summary>查看答案</summary> **\(C\)**：涉及國家機密 = 直接 A 級（第 4 條第 1 款）。 - A 錯：是 A 至 **E** 級（五級） - B 錯：是由**上級機關或主管機關**核定 - D 錯：未維運系統 = **D 級** </details> --- **Q7. B 級條件：國家核心科技 / 敏感科學技術** 📅 110、112（換湯不換藥）依據資通安全責任等級分級辦法，下列何者正確？ - (A) 業務涉及全國性民眾服務或跨特定非公務機關共用性資通系統之維運 → A 級 - (B) 業務涉及公務機關捐助、資助或研發之國家核心科技資訊之安全維護及管理 → B 級 - \(C\) 維運自行或委外設置、開發且具權限區分及管理功能之資通系統 → A 級 - (D) 無資通系統但提供資通服務 → E 級 <details> <summary>查看答案</summary> **(B)**：國家核心科技 / 敏感科學技術 → B 級。 - A 錯：「跨特定非公務機關」應為跨「公務機關」 - C 錯：= C 級 - D 錯：E 級 = 無系統**且未提供服務** > 💡 110 年中級考「敏感科學技術」、112 年初級考「國家核心科技」，關鍵字不同但答案都是 B 級。 </details> --- **Q8. A 級應辦數字：專職 4 人** 📅 113 某 A 級公務機關（辦理全國全民健康保險業務），其資安承辦窗口所實施之作為，下列何項正確？ - (A) 每年辦理一次內部資通安全稽核 - (B) 每二年辦理一次資通安全健診活動 - \(C\) 資通安全專職人員配置四人 - (D) 非核心資通系統導入 ISO 27001 <details> <summary>查看答案</summary> **\(C\)**：A 級專職 = 4 人。A 錯（A 級稽核 2 次/年）、B 錯（每年 1 次）、D 錯（核心系統才需導入）。 > 💡 **A 級數字**：專職 4 人、稽核 2 次/年、弱掃 2 次/年、滲透 1 次/年、健診 1 次/年 </details> --- ### 🔥 D. 事件分級 --- **Q9. 第一級：非核心 + 輕微** 📅 114 某特定非公務機關判別某一非核心資通系統之資訊遭受輕微竄改，該事件之嚴重等級為？ - (A) 第一級 - (B) 第二級 - \(C\) 第三級 - (D) 第四級 <details> <summary>查看答案</summary> **(A)**：非核心 + 輕微 = 第一級。 | 等級 | 影響範圍 | 損害程度 | |:----:|:---------|:---------| | 第一級 | 非核心系統 | 輕微 | | 第二級 | 核心或非核心 | 一般 | | 第三級 | 核心系統 | 嚴重 | | 第四級 | 核心系統 | 非常嚴重 | </details> --- **Q10. 第三級定義（陷阱：國家機密 = 第四級）** 📅 113 資通安全管理法將事件分為四級，下列何項屬於三級？ - (A) 非核心業務資訊遭嚴重洩漏，或未涉及 CI 之核心業務資訊遭輕微洩漏 - (B) 非核心業務資訊遭輕微洩漏 - \(C\) 一般公務機密、敏感資訊或涉及 CI 之核心業務資訊遭嚴重洩漏，或國家機密遭洩漏 - (D) 未涉及 CI 之核心業務資訊遭嚴重洩漏，或一般公務機密、敏感資訊或涉及 CI 之核心業務資訊遭輕微洩漏 <details> <summary>查看答案</summary> **(D)**：B = 第一級、A = 第二級、C = **第四級**（國家機密洩漏 → 最高級別）。 > ⚠️ **陷阱**：看到「國家機密遭洩漏」直接排除，那是第四級！多個 AI 都答錯這題。 </details> --- **Q11. 情境判斷：核心業務 + 無法復原 → 不是二級** 📅 114 A 公司（金融機構，A 級）的主機遭勒索軟體加密，影響核心業務且無法於可容忍中斷時間內回復。下列何者錯誤？ - (A) 一小時內通報金管會 - (B) 資通安全事件等級判斷為二級 - \(C\) 對該主機進行隔離 - (D) 建議資安長啟動業務持續計畫 <details> <summary>查看答案</summary> **(B)**：影響**核心業務** + **無法於可容忍時間內回復** → 應為 3 或 4 級，不是 2 級。 </details> --- ### ⏰ E. 通報 / 審核 / 復原時限 --- **Q12. 綜合時限表（找錯題）** 📅 114 受管制機關進行資通安全事件應變及通報，下列何者有誤？ - (A) 知悉事件後，應於一小時內通報 - (B) 第一級或第二級事件，主管機關於接獲後八小時內完成等級審核 - \(C\) 第三級或第四級事件，主管機關於接獲後二小時內完成等級審核 - (D) 第三級或第四級事件，應於知悉後**七十二**小時內完成損害控制或復原 <details> <summary>查看答案</summary> **(D)**：3、4 級應於 **36 小時內**完成，不是 72 小時。 | 項目 | 1、2 級（較輕） | 3、4 級（較重） | |------|:---:|:---:| | 通報時限 | 1 小時 | 1 小時 | | 主管機關審核 | 8 小時 | 2 小時 | | 損害控制/復原 | **72 小時** | **36 小時** | > 💡 事情越嚴重，時間越短。 </details> --- **Q13. 審核時限：3/4 級 = 2 小時** 📅 112 某特定非公務機關核心資通系統遭嚴重竄改，須於 36 小時內完成損害控制或復原。中央目的事業主管機關，應於接獲通報後幾小時內完成等級審核？ - (A) 2 - (B) 4 - \(C\) 6 - (D) 8 <details> <summary>查看答案</summary> **(A)**：36hr 復原 + 核心嚴重竄改 → 暗示 3 或 4 級 → 審核 **2 小時**。 </details> --- **Q14. 審核時限：1/2 級 = 8 小時（反向陷阱）** 📅 113 主管機關依規定時間完成資通安全事件等級審核，下列何項正確？ - (A) 第三/四級事件，於接獲後四小時內 - (B) 第三/四級事件，於接獲後六小時內 - \(C\) 第一/二級事件，於接獲後八小時內 - (D) 第一/二級事件，於接獲後二小時內 <details> <summary>查看答案</summary> **\(C\)**：D 是經典陷阱（把 1、2 級跟 2 小時配在一起，其實 2 小時是 3、4 級的）。 </details> --- **Q15. 1 小時內通報優先（情境題）** 📅 114 身為 CI 提供者（區域醫療中心）的資安長，發現勒索軟體活動的當下，第一小時內最優先的法定應辦事項為何？ - (A) 立即支付勒索贖金以最快速度回復系統 - (B) 全面斷開醫院對外網路，阻止威脅擴散 - \(C\) 依據事件分級，完成初步損害評估與判斷，並於一小時內通報主管機關 - (D) 召集所有資訊人員，優先搶救被加密的電子病歷資料庫 <details> <summary>查看答案</summary> **\(C\)**：知悉事件後 **1 小時內**通報是法定義務。斷網、搶救是技術處置，不是法定優先事項。 </details> --- **Q16. 不只公務機關需通報** 📅 110 關於「資通安全事件通報及應變辦法」，下列何者「不」正確？ - (A) 資安事件共分四等級 - (B) 第四級為最重大，第一級為最輕微 - \(C\) 該辦法規定只有公務機關遇資安事件時需要通報 - (D) 若為第一級資安事件，公務機關應於知悉後 72 小時內完成損害控制或復原 <details> <summary>查看答案</summary> **\(C\)**：公務機關**和特定非公務機關**都需要通報，不是只有公務機關。 </details> --- **Q17. 改善報告 = 1 個月（不是 2 個月）** 📅 111 當某 CI 提供者之核心業務資訊遭受嚴重洩漏，關於通報的敘述，下列何者錯誤？ - (A) 知悉資通安全事件後應於一小時內進行通報 - (B) 通報內容應包含為因應該事件所採取之措施 - \(C\) 應於知悉該事件後三十六小時內完成損害控制或復原作業 - (D) 完成損害控制或復原作業後應於**二個月**內送交調查處理及改善報告 <details> <summary>查看答案</summary> **(D)**：改善報告是 **1 個月**內，不是 2 個月。A、B、C 都正確。 </details> --- ### 📎 F. 委外管理（施行細則第 7 條） --- **Q18. 委外選任：ISO 9001 不是資安證照** 📅 114 甲金融機構對於受託者之選任作業，下列何者最「不」適切？ - (A) 確認受託者配置充足且經適當資格訓練之人員 - (B) 確認受託者擁有 ISO 9001 專業證照 - \(C\) 確認受託者具有類似業務經驗之資通安全專業人員 - (D) 確認受託者具備完善之資通安全管理措施 <details> <summary>查看答案</summary> **(B)**：ISO 9001 是品質管理，不是資安。法規要求的是「資通安全專業證照」。 </details> --- **Q19. 複委託注意事項：沒有「金額」** 📅 114 關於複委託應注意之事項，下列何者最「不」適切？ - (A) 複委託之範圍 - (B) 複委託之對象 - \(C\) 複委託之金額 - (D) 複委託之受託者應具備之資通安全維護措施 <details> <summary>查看答案</summary> **\(C\)**：複委託注意：是否允許、**範圍、對象、受託者資安維護措施**。沒有「金額」。 </details> --- **Q20. 安全性檢測：委託機關的責任（不能讓受託者自己檢測自己）** 📅 112、114 > 💡 背景：委託金額 880 萬，含核心系統。B 公司部份程式碼取自外部第三方。 - (A) 委託金額未達 1,000 萬元，故無需辦理安全性檢測 - (B) 本案應由 B 公司負責提供安全性檢測證明 - \(C\) 甲金融機構自行或另行委託第三方進行安全性檢測 - (D) 應標示非自行開發之內容，但無須提供其來源及授權證明 <details> <summary>查看答案</summary> **\(C\)**： - A 錯：有「**核心系統**」，條件是「或」，金額未達也須檢測 - B 錯：第三方檢測是**委託機關**的責任 - D 錯：須標示內容「**與其來源及提供授權證明**」 > 💡 112 年也考過同概念：「甲客戶委託 A 公司對自己的系統做安全性檢測」= 不適當。 </details> --- **Q21. 適任性查核：動員戡亂「後」不是「前」** 📅 111 關於委外辦理資通系統時「適任性查核」，下列何者錯誤？ - (A) 查核有無曾犯洩密罪，或於動員戡亂時期終止**前**，犯內亂罪、外患罪，經判刑確定 - (B) 查核有無曾犯洩密罪，或於動員戡亂時期終止**後**，犯內亂罪、外患罪，經判刑確定 - \(C\) 查核有無曾受到外國政府之利誘、脅迫，從事不利國家安全情事 - (D) 查核有無曾受到大陸地區、香港或澳門政府之利誘、脅迫，從事不利國家安全情事 <details> <summary>查看答案</summary> **(A)**：法規寫的是「動員戡亂時期終止**後**」，不是「前」。 > 💡 適任性查核只針對「**涉及國家機密**」的委外業務（施行細則第 7 條第 3 款），不是所有委外都要查核。 </details> --- **Q22. 資安事件處置（複選）** 📅 114 B 公司系統開發工程師私自連外網，導致程式碼外洩之重大資通安全事件。關於處置下列哪些最適切？ - (A) 辦理對 B 公司網路維護工程師之適任性查核 - (B) B 公司通報 A 公司並通知甲金融機構資通安全事件 - \(C\) B 公司採行補救措施 - (D) 甲金融機構決議解除複委託業務，確認受託者返還、移交、刪除或銷毀資料 <details> <summary>查看答案</summary> **(B)\(C\)(D)**： - A 錯：適任性查核是針對「**涉及國家機密**」，本案是金融機構 - B 對：事件通報（第 5 款） - C 對：補救措施 - D 對：契約終止時資料處置（第 6 款） </details> --- ### 🗂️ G. 子法對應與維護計畫 --- **Q23. 演練作業類型/項目定義在哪個子法？（113、114 連考！）** 📅 113、114 下列哪一項子法有定義資通安全演練作業項目？ - (A) 資通安全責任等級分級辦法 - (B) 資通安全管理法施行細則 - \(C\) 資通安全情資分享辦法 - (D) 資通安全事件通報及應變辦法 <details> <summary>查看答案</summary> **(D)**：通報應變及演練辦法**第 16 條**列出五種演練類型：社交工程演練、通報應變演練、網路攻防演練、情境演練、其他必要之演練。 > 💡 **113 年考 1 題、114 年連考 3 題，答案全部都是 (D)**。這是送分題，不要想太多。 > > 容易搞混的是：**分級辦法附表**規定的演練只有「**營運持續計畫演練**」，但問「**有哪些演練種類/項目**」→ 永遠選通報應變及演練辦法。 </details> --- **Q24. 維護計畫不含什麼？** 📅 108、111（考兩次，換選項）依據《資通安全管理法施行細則》，下列何者「不」是資通安全維護計畫應包括的事項？ - (A) 核心業務及其重要性 - (B) 資通安全稽核組織 - \(C\) 資通安全政策及目標 - (D) 專責人力及經費之配置 <details> <summary>查看答案</summary> **(B)**：計畫要求「資通安全**推動**組織」，不是「稽核組織」。 > 💡 108 年也考過同概念，當時錯誤選項是「實施安控的作業程序書」。不管怎麼換，記住施行細則第 6 條列的 13 項就不怕。 </details> --- ### 📊 H. 其他考點 --- **Q25. 密碼不得明文存放 → 識別與鑑別** 📅 110 關於防護基準中，要求密碼「不」得明文存放，是規範在下列何種控制構面？ - (A) 系統與通訊保護 - (B) 系統與服務獲得 - \(C\) 存取控制 - (D) 識別與鑑別 <details> <summary>查看答案</summary> **(D)**：密碼 = 鑑別資訊 → 歸在「識別與鑑別」構面。 → 對應：分級辦法附表十（防護基準） </details> --- **Q26. 日誌留存規劃（複選）** 📅 113 依據分級辦法與通報應變作業程序，資安事件跡證保存之規劃下列哪些正確？ - (A) 日誌留存依機關等級而異，等級「普」至少六個月而等級「高」為兩年 - (B) 日誌保存範圍涵蓋各項資通系統，與資通及防護設備日誌紀錄 - \(C\) 日誌宜保存項目為作業系統日誌、網站日誌、應用程式日誌與登入日誌 - (D) 日誌內容宜含事件類型、發生時間與位置，及事件相關之使用者身分識別等資訊 <details> <summary>查看答案</summary> **(B)\(C\)(D)**：A 的等級劃分描述有誤。 </details> --- **Q29. A 級日誌保留期限：具體數字** 📅 113（複選） A 級公務機關，依「各機關資通安全事件通報及應變處理作業程序」，下列保留期限何者正確？ - (A) 稽核軌跡：至少 1 年 - (B) 資通系統日誌：至少 6 個月 - \(C\) 系統開發人員修改程式碼紀錄：至少 3 年 - (D) 網路防護設備/入侵偵測設備日誌：至少 6 個月 <details> <summary>查看答案</summary> **(B)\(C\)(D)**： - A 錯：稽核軌跡保留期限描述有誤 - B 對：系統日誌至少 **6 個月** - C 對：程式碼修改紀錄至少 **3 年**（這個數字很冷門） - D 對：防護/偵測設備日誌至少 **6 個月** > 💡 跟 Q26 比較：Q26 問「保存哪些類型」，Q29 問「保存多久」。配合一起看就是完整的日誌管理考點。 </details> --- > 📊 **歷年考點出現頻率**（108～114 年統計） > > | 考點 | 出現次數 | 代表題號 | > |------|:---:|:---:| > | 通報/審核/復原時限 | ★★★★★ | Q12～Q17 | > | 事件分級判斷 | ★★★★ | Q9～Q11 | > | 責任等級 A～E | ★★★★ | Q6～Q8 | > | 適用對象判斷 | ★★★ | Q3～Q5, Q27～Q28 | > | 委外管理（施行細則§7） | ★★★ | Q18～Q22 | > | 子法對應 / 維護計畫 | ★★ | Q23～Q24 | > | 立法目的 / 名詞定義 | ★★ | Q1～Q2 | > | 附表細節（防護基準/日誌） | ★ | Q25～Q26, Q29 | 資安法適用對象判斷流程圖 ![Gemini_Generated_Image_7vhm5j7vhm5j7vhm](https://hackmd.io/_uploads/BysTa8RObg.png) ## 使用說明 1. 判斷邏輯：**兩關卡制** - 第一關：是不是公務機關？（排除軍事/情報） - 第二關：是不是四類特定非公務機關？ - 兩關都沒過 → **不適用資安法**（考試最愛考這條路） 2. 搭配筆記中的 Q3、Q4、Q5、Q27、Q28 一起看 ## 歷屆考題對應 | 年度 | 題目情境 | 走哪條路 | |------|---------|---------| | 111 | 台灣前 50 大上市企業 | 兩關都沒過 → ❌ | | 112 | Z 公司（3C 零售上市櫃） | 兩關都沒過 → ❌ | | 113 | aespa 貨車租賃公司 | 兩關都沒過 → ❌ | | 113 | 英國電子商務平台 | 外國公司 → ❌ | | 113 | M 公司（特定非公務機關） | 第二關 ④ 過了 → ✅ |