# 資通安全法施行細則 ###### tags: `iPAS`, `資安`, `法規` - 筆記總表請參閱 [iPAS 資安法規及標準筆記](https://hackmd.io/@ywChen/H192F7VPC) [toc] ## 法源 - [資通安全管理法施行細則-全國法規資料庫](https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030303) ## 改善報告 - 缺失或待改善之項目及內容 - 發生原因 - 為改正缺失或補強待改善項目所採取管理、技術、人力或資源等層面之措施 - 前款措施之預定完成時程及執行進度之追蹤方式 ## 監督委外辦理資通系統之建置、維運或資通服務注意事項 - 相關程序及環境應具備完善資通安全管理措施或通過第三方驗證 - 受託者應配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業務經驗之資安專業人員 - 得否複委託、得複委託之範圍與對象、複委託之受託者應具備之資通安全維護措施 - 涉及國家機密者，相關人員應接受適任性查核並管制出境 - 客製化資通系統開發者應提供該資通系統之安全性檢測證明 - 核心資通系統或委託金額達一千萬元以上，委託機關應自行或另行委託第三方進行安全性檢測 - 涉及利用非受託者自行開發之系統或資源者，應標示非自行開發之內容與其來源及提供授權證明 - 違反資安相關法令或知悉資安事件時應立即通知委託機關 - 委託關係終止或解除時，應確認受託者返還、移交、刪除或銷毀履行契約而持有之資料 ## 資通安全維護計畫 - 核心業務及其重要性 - 核心業務 - 依其組織法規足認該業務為機關核心權責所在 - 公營事業及政府捐助之財團法人之主要服務或功能 - 維運、提供關鍵基礎設施所必要之業務 - 依資通安全責任等級分級辦法 - 資通安全政策及目標 - 資通安全推動組織 - 專責人力及經費配置 - 公務機關資通安全長配置 - 資通系統及資訊之盤點，並標示核心資通系統及相關資產 - 資通安全風險評估 - 資通安全防護及控制措施 - 資通安全事件通報、應變及演練相關機制 - 資通安全情資之評估及因應機制 - 資通系統或服務委外辦理之管理措施 - 公務機關所屬人員辦理業務涉及資通安全事項之考核機制 - 資通安全維護計畫與實施情形之持續精進及績效管理機制 ## 資通安全事件調查、處理及改善報告 - 事件發生或知悉其發生、完成損害控制或復原作業之時間 - 事件影響之範圍及損害評估 - 損害控制及復原作業之歷程 - 事件調查及處理作業之歷程 - 事件根因分析 - 防範再次發生所採取之管理、技術、人力或資源等層面之措施 - 前款措施之預定完成時程及成效追蹤機制