國家科學及技術委員會所管特定非公務機關資通安全管理作業辦法(原:科技部所管特定非公務機關資通安全管理作業辦法) 首頁法規目錄【法規名稱】。♬簡讀版國家科學及技術委員會所管特定非公務機關資通安全管理作業辦法【發布日期】111.12.01【發布機關】國家科學及技術委員會【法規沿革】 1‧中華民國一百零八年二月二十三日科技部科部資字第1080008882A號令訂定發布全文13條；並自發布日施行　中華民國一百十一年七月二十七日行政院院臺規字第1110182320號公告本辦法之主管機關原為「科技部」，自一百十一年七月二十七日起變更為「國家科學及技術委員會」；第2條、第3條第1項、第4條、第5條、第6條、第7條第1項、第2項、第8條、第9條第1項、第4項、第10條第1項、第3項、第11條所列主管機關掌理事項，改由「國家科學及技術委員會」管轄（名稱：科技部所管特定非公務機關資通安全管理作業辦法） 2‧中華民國一百十一年十二月一日國家科學及技術委員會科會資字第1110072096B號令修正發布名稱及全文13條；並自發布日施行【章節索引】第一章　總則　§1 第二章　資通安全維護計畫必要事項及實施情形之提出　§3 第三章　資通安全維護計畫實施情形之稽核　§6 第四章　附則　§12【法規內容】第一章　　總則第1條 ﹝1﹞本辦法依資通安全管理法（以下簡稱本法）第十六條第六項及第十七條第四項規定訂定之。第2條 ﹝1﹞本辦法所稱關鍵基礎設施提供者，指國家科學及技術委員會（以下簡稱本會）依本法第十六條第一項規定指定，報請主管機關核定者。回索引〉〉第二章　　資通安全維護計畫必要事項及實施情形之提出第3條 ﹝1﹞本會所管特定非公務機關（以下簡稱特定非公務機關）之資通安全維護計畫，應依本法施行細則第六條第一項規定辦理。 ﹝2﹞特定非公務機關依本法第十六條第三項或第十七條第二項規定提出資通安全維護計畫實施情形，應依本法施行細則第六條第二項規定辦理。第4條 ﹝1﹞關鍵基礎設施提供者應於每年一月底前，依本會指定之方式提出資通安全維護計畫。 ﹝2﹞關鍵基礎設施提供者以外之特定非公務機關，經本會要求提出資通安全維護計畫者，應於收受本會通知後一個月內，依本會指定之方式提出。第5條 ﹝1﹞關鍵基礎設施提供者應於每年十月底前，依本會指定之方式提出資通安全維護計畫實施情形。 ﹝2﹞關鍵基礎設施提供者以外之特定非公務機關，經本會依本法第十七條第二項規定要求提出資通安全維護計畫實施情形者，應於收受本會通知後一個月內，依本會指定之方式提出。回索引〉〉第三章　　資通安全維護計畫實施情形之稽核第6條 ﹝1﹞本會應於每年十一月底前擇定關鍵基礎設施提供者，並得擇定其他特定非公務機關，以現場實地稽核之方式，稽核其資通安全維護計畫實施情形。 ﹝2﹞本會為辦理前項稽核，應訂定稽核計畫，其內容包括稽核之依據與目的、期間、稽核小組組成方式、保密義務、稽核方式、基準及項目等與稽核相關之事項。 ﹝3﹞本會決定前項稽核之基準及項目時，應綜合考量我國資通安全政策、國內外資通安全趨勢、過往稽核成效及稽核資源等因素。 ﹝4﹞本會依第一項規定擇定受稽核之特定非公務機關（以下簡稱受稽核者）時，應綜合考量其資通安全責任等級、資通安全事件發生之頻率與程度、資通安全演練之成果、歷年受主管機關或本會稽核之頻率與結果及其他與資通安全相關之因素。第7條 ﹝1﹞本會辦理前條第一項之稽核，應於一個月前將稽核計畫以書面通知受稽核者。 ﹝2﹞受稽核者因業務因素或其他正當理由，未能於本會指定之時間配合稽核者，得於收受前項通知後五日內，以書面敘明理由向本會申請變更稽核日期。 ﹝3﹞前項申請，除有不可抗力之事由外，以一次為限。第8條 ﹝1﹞本會辦理第六條第一項之稽核，得要求受稽核者為資通安全維護計畫實施情形之相關說明、協力或提供相關文件或證明供現場查閱，並執行下列事項：　　一、稽核前訪談。　　二、現場實地稽核。 ﹝2﹞受稽核者依法律有正當理由，未能為前項說明、配合措施或提供資料時，應以書面敘明理由，向本會提出。 ﹝3﹞本會收受前項書面後，應進行審核，依下列規定辦理，並得停止稽核作業之全部或一部：　　一、認有理由者，應將審核之依據及相關資訊記載於稽核結果報告。　　二、認無理由者，應要求受稽核者依第一項規定辦理；已停止稽核作業者，得擇期續行辦理，並於十日前以書面通知受稽核者。第9條 ﹝1﹞本會為辦理第六條第一項之稽核，應依同條第四項之考量因素及實際稽核需求，就各受稽核者組成稽核小組。 ﹝2﹞前項稽核小組成員三人至七人，由具備資通安全政策或該次稽核所需之技術、管理、法律或實務專業知識之公務機關代表或專家學者擔任；其中公務機關代表不得少於全體成員人數之三分之一。 ﹝3﹞前項公務機關代表或專家學者有下列情形之一者，應主動迴避擔任該次稽核之稽核小組成員：　　一、本人、其配偶、三親等內親屬、家屬或上開人員財產信託之受託人，與受稽核者或其負責人間有財產上或非財產上之利害關係。　　二、本人、其配偶、三親等內親屬或家屬，與受稽核者或其負責人間，目前或過去二年內有僱傭、承攬、委任、代理或其他類似之關係。　　三、本人目前或過去二年內曾任職之機關（構）、事業或單位，曾為受稽核者進行與受稽核項目相關之顧問輔導。　　四、其他足認擔任稽核小組成員將影響稽核結果公正性之情形。 ﹝4﹞本會應以書面與稽核小組成員約定利益衝突之迴避事項及執行稽核之保密義務。第10條 ﹝1﹞本會應於稽核作業完成後一個月內，將稽核結果報告交付受稽核者。 ﹝2﹞前項稽核結果報告之內容，應包括稽核之範圍、缺失或待改善事項、第八條第二項所定受稽核者未能為說明、配合措施或提供資料之情形與理由及其他相關事項。 ﹝3﹞本會辦理稽核後，應於次年度一月底前彙整第一項稽核結果報告，並提交主管機關備查。第11條 ﹝1﹞受稽核者經發現其資通安全維護計畫實施情形有缺失或待改善者，應於收受稽核結果報告後一個月內，依本法施行細則第三條規定及本會指定之方式，向本會提出改善報告。 ﹝2﹞受稽核者依前項規定提出改善報告後，應依其缺失或待改善事項之性質及程度，適時以書面提出改善報告之執行情形；本會認有必要時，得要求受稽核者進行說明或調整。回索引〉〉第四章　　附則第12條 ﹝1﹞本辦法所定書面，依電子簽章法之規定，得以電子文件為之。第13條 ﹝1﹞本辦法自發布日施行。回頁首〉〉【編註】本檔提供學習與參考為原則；如需正式引用請以官方公告版為準。如有發現待更正部份及您所需本站未收編之法規，敬請告知，謝謝!

【法規名稱】

。♬簡讀版

國家科學及技術委員會所管特定非公務機關資通安全管理作業辦法

【發布日期】111.12.01【發布機關】國家科學及技術委員會

【法規沿革】

1‧中華民國一百零八年二月二十三日科技部科部資字第1080008882A號令訂定發布全文13條；並自發布日施行
　中華民國一百十一年七月二十七日行政院院臺規字第1110182320號公告本辦法之主管機關原為「科技部」，自一百十一年七月二十七日起變更為「國家科學及技術委員會」；第2條、第3條第1項、第4條、第5條、第6條、第7條第1項、第2項、第8條、第9條第1項、第4項、第10條第1項、第3項、第11條所列主管機關掌理事項，改由「國家科學及技術委員會」管轄（名稱：科技部所管特定非公務機關資通安全管理作業辦法）
2‧中華民國一百十一年十二月一日國家科學及技術委員會科會資字第1110072096B號令修正發布名稱及全文13條；並自發布日施行

【章節索引】

第一章　總則　§1
第二章　資通安全維護計畫必要事項及實施情形之提出　§3
第三章　資通安全維護計畫實施情形之稽核　§6
第四章　附則　§12

【法規內容】

第一章　　總則

第1條

﹝1﹞本辦法依資通安全管理法（以下簡稱本法）第十六條第六項及第十七條第四項規定訂定之。

第2條

﹝1﹞本辦法所稱關鍵基礎設施提供者，指國家科學及技術委員會（以下簡稱本會）依本法第十六條第一項規定指定，報請主管機關核定者。

回索引〉〉

第二章　　資通安全維護計畫必要事項及實施情形之提出

第3條

﹝1﹞本會所管特定非公務機關（以下簡稱特定非公務機關）之資通安全維護計畫，應依本法施行細則第六條第一項規定辦理。
﹝2﹞特定非公務機關依本法第十六條第三項或第十七條第二項規定提出資通安全維護計畫實施情形，應依本法施行細則第六條第二項規定辦理。

第4條

﹝1﹞關鍵基礎設施提供者應於每年一月底前，依本會指定之方式提出資通安全維護計畫。
﹝2﹞關鍵基礎設施提供者以外之特定非公務機關，經本會要求提出資通安全維護計畫者，應於收受本會通知後一個月內，依本會指定之方式提出。

第5條

﹝1﹞關鍵基礎設施提供者應於每年十月底前，依本會指定之方式提出資通安全維護計畫實施情形。
﹝2﹞關鍵基礎設施提供者以外之特定非公務機關，經本會依本法第十七條第二項規定要求提出資通安全維護計畫實施情形者，應於收受本會通知後一個月內，依本會指定之方式提出。

回索引〉〉

第三章　　資通安全維護計畫實施情形之稽核

第6條

﹝1﹞本會應於每年十一月底前擇定關鍵基礎設施提供者，並得擇定其他特定非公務機關，以現場實地稽核之方式，稽核其資通安全維護計畫實施情形。
﹝2﹞本會為辦理前項稽核，應訂定稽核計畫，其內容包括稽核之依據與目的、期間、稽核小組組成方式、保密義務、稽核方式、基準及項目等與稽核相關之事項。
﹝3﹞本會決定前項稽核之基準及項目時，應綜合考量我國資通安全政策、國內外資通安全趨勢、過往稽核成效及稽核資源等因素。
﹝4﹞本會依第一項規定擇定受稽核之特定非公務機關（以下簡稱受稽核者）時，應綜合考量其資通安全責任等級、資通安全事件發生之頻率與程度、資通安全演練之成果、歷年受主管機關或本會稽核之頻率與結果及其他與資通安全相關之因素。

第7條

﹝1﹞本會辦理前條第一項之稽核，應於一個月前將稽核計畫以書面通知受稽核者。
﹝2﹞受稽核者因業務因素或其他正當理由，未能於本會指定之時間配合稽核者，得於收受前項通知後五日內，以書面敘明理由向本會申請變更稽核日期。
﹝3﹞前項申請，除有不可抗力之事由外，以一次為限。

第8條

﹝1﹞本會辦理第六條第一項之稽核，得要求受稽核者為資通安全維護計畫實施情形之相關說明、協力或提供相關文件或證明供現場查閱，並執行下列事項：
　　一、稽核前訪談。
　　二、現場實地稽核。
﹝2﹞受稽核者依法律有正當理由，未能為前項說明、配合措施或提供資料時，應以書面敘明理由，向本會提出。
﹝3﹞本會收受前項書面後，應進行審核，依下列規定辦理，並得停止稽核作業之全部或一部：
　　一、認有理由者，應將審核之依據及相關資訊記載於稽核結果報告。
　　二、認無理由者，應要求受稽核者依第一項規定辦理；已停止稽核作業者，得擇期續行辦理，並於十日前以書面通知受稽核者。

第9條

﹝1﹞本會為辦理第六條第一項之稽核，應依同條第四項之考量因素及實際稽核需求，就各受稽核者組成稽核小組。
﹝2﹞前項稽核小組成員三人至七人，由具備資通安全政策或該次稽核所需之技術、管理、法律或實務專業知識之公務機關代表或專家學者擔任；其中公務機關代表不得少於全體成員人數之三分之一。
﹝3﹞前項公務機關代表或專家學者有下列情形之一者，應主動迴避擔任該次稽核之稽核小組成員：
　　一、本人、其配偶、三親等內親屬、家屬或上開人員財產信託之受託人，與受稽核者或其負責人間有財產上或非財產上之利害關係。
　　二、本人、其配偶、三親等內親屬或家屬，與受稽核者或其負責人間，目前或過去二年內有僱傭、承攬、委任、代理或其他類似之關係。
　　三、本人目前或過去二年內曾任職之機關（構）、事業或單位，曾為受稽核者進行與受稽核項目相關之顧問輔導。
　　四、其他足認擔任稽核小組成員將影響稽核結果公正性之情形。
﹝4﹞本會應以書面與稽核小組成員約定利益衝突之迴避事項及執行稽核之保密義務。

第10條

﹝1﹞本會應於稽核作業完成後一個月內，將稽核結果報告交付受稽核者。
﹝2﹞前項稽核結果報告之內容，應包括稽核之範圍、缺失或待改善事項、第八條第二項所定受稽核者未能為說明、配合措施或提供資料之情形與理由及其他相關事項。
﹝3﹞本會辦理稽核後，應於次年度一月底前彙整第一項稽核結果報告，並提交主管機關備查。

第11條

﹝1﹞受稽核者經發現其資通安全維護計畫實施情形有缺失或待改善者，應於收受稽核結果報告後一個月內，依本法施行細則第三條規定及本會指定之方式，向本會提出改善報告。
﹝2﹞受稽核者依前項規定提出改善報告後，應依其缺失或待改善事項之性質及程度，適時以書面提出改善報告之執行情形；本會認有必要時，得要求受稽核者進行說明或調整。

回索引〉〉

第四章　　附則

第12條

﹝1﹞本辦法所定書面，依電子簽章法之規定，得以電子文件為之。

第13條

﹝1﹞本辦法自發布日施行。

回頁首〉〉
【編註】本檔提供學習與參考為原則；如需正式引用請以官方公告版為準。
如有發現待更正部份及您所需本站未收編之法規，敬請告知，謝謝!