# 資通安全管理法 ###### tags: `iPAS`, `資安`, `法規` - 筆記總表請參閱 [iPAS 資安法規及標準筆記](https://hackmd.io/@ywChen/H192F7VPC) [toc] ## 法源 - [資通安全管理法-全國法規資料庫](https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297) ## 用詞 - 資通安全: 防止資通系統遭未經授權存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，以確保機密性、完整性及可用性 - 資通安全事件: 系統、服務或網路狀態經鑑別顯示可能有違反資通安全政策或保護措施失效，影響資通系統機能運作 - 公務機關: 依法行使公權力之中央、地方機關或公法人，不包括軍事及情報機關 - 特定非公務機關: 關鍵基礎設施提供者、公營事業及政府捐助的財團法人 - 關鍵基礎設施: 實體或虛擬資產、系統或網路，功能一旦停止運作或效能降低，對國家安全、社會公共利益、國民生活或經濟活動有重大影響 ## 公務機關資通安全管理 - 應符合其所屬資通安全責任等級之要求 - 應置資通安全長，由機關首長指派副首長或適當人員兼任 - 應每年向上級或監督機關提出資通安全維護計畫實施情形 - 應稽核其所屬或監督機關之資通安全維護計畫實施情形 - 有缺失或待改善者，應提出改善報告，送交稽核機關及上級或監督機關 - 因應資通安全事件應訂定通報及應變機制 - 知悉資通安全事件時，除應通報上級或監督機關外，並應通報主管機關 - 應向上級或監督機關提出資通安全事件調查、處理及改善報告，並送交主管機關 ## 特定非公務機關資通安全管理 - 應符合其所屬資通安全責任等級之要求 - 關鍵基礎設施提供者 - 應向中央目的事業主管機關提出資通安全維護計畫實施情形 - 中央目的事業主管機關應稽核 - 關鍵基礎設施提供者以外之特定非公務機關 - 中央目的事業主管機關得要求提出資通安全維護計畫實施情形 - 有缺失或待改善者，應提出改善報告，送交中央目的事業主管機關 - 應訂定通報及應變機制 - 知悉資通安全事件時應向中央目的事業主管機關通報 - 應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告 - 重大資通安全事件者並應送交主管機關 - 重大資通安全事件: 資通安全事件通報及應變辦法第三級及第四級資通安全事件 ## 罰則 - 公務機關 - 懲戒、懲處 - 特定非公務機關 - 10 ~ 100 萬 - 未訂定、修正或實施資通安全維護計畫 - 未向中央目的事業主管機關提出資通安全維護計畫實施情形 - 未提出改善報告送交主管機關 - 未訂定資通安全事件之通報及應變機制 - 未向中央目的事業主管機關或主管機關提出資通安全事件之調查、處理及改善報告 - 30 ~ 500 萬 - 未通報資通安全事件