本文是中华民国法规相关中华人民共和国法律法规,可参见中华人民共和国网络安全法
本文是中华民国法规相关澳门法例,可参见第13/2019号法律
资通安全管理法
立法于民国107年5月11日(现行条文)
2018年5月11日
2018年6月6日
公布于民国107年6月6日
总统华总一义字第10700060021号令
有效期:民国108年(2019年)1月1日至今

中华民国 107 年 5 月 11 日 制定23条
中华民国 107 年 6 月 6 日公布总统华总一义字第10700060021号令制定公布全文 23 条;施行日期,由主管机关定之
中华民国 108 年 1 月 1 日施行中华民国一百零七年十二月五日行政院院台护字第1070217128号令发布定自一百零八年一月一日施行

    第一章 总则

    第一条 (立法目的)

      为积极推动国家资通安全政策,加速建构国家资通安全环境,以保障国家安全,维护社会公共利益,特制定本法。

    第二条 (主管机关)

      本法之主管机关为行政院。

    第三条 (用词定义)

      本法用词,定义如下:
      一、资通系统:指用以搜集、控制、传输、储存、流通、删除资讯或对资讯为其他处理、使用或分享之系统。
      二、资通服务:指与资讯之搜集、控制、传输、储存、流通、删除、其他处理、使用或分享相关之服务。
      三、资通安全:指防止资通系统或资讯遭受未经授权之存取、使用、控制、泄漏、破坏、窜改、销毁或其他侵害,以确保其机密性、完整性及可用性。
      四、资通安全事件:指系统、服务或网路状态经鉴别而显示可能有违反资通安全政策或保护措施失效之状态发生,影响资通系统机能运作,构成资通安全政策之威胁。
      五、公务机关:指依法行使公权力之中央、地方机关(构)或公法人。但不包括军事机关及情报机关。
      六、特定非公务机关:指关键基础设施提供者、公营事业及政府捐助之财团法人。
      七、关键基础设施:指实体或虚拟资产、系统或网路,其功能一旦停止运作或效能降低,对国家安全、社会公共利益、国民生活或经济活动有重大影响之虞,经主管机关定期检视并公告之领域。
      八、关键基础设施提供者:指维运或提供关键基础设施之全部或一部,经中央目的事业主管机关指定,并报主管机关核定者。
      九、政府捐助之财团法人:指其营运及资金运用计划应依预算法第四十一条第三项规定送立法院,及其年度预算书应依同条第四项规定送立法院审议之财团法人。

    第四条 (国家资通安全发展推动事项)

      为提升资通安全,政府应提供资源,整合民间及产业力量,提升全民资通安全意识,并推动下列事项:
      一、资通安全专业人才之培育。
      二、资通安全科技之研发、整合、应用、产学合作及国际交流合作。
      三、资通安全产业之发展。
      四、资通安全软硬体技术规范、相关服务与审验机制之发展。
      前项相关事项之推动,由主管机关以国家资通安全发展方案定之。

    第五条 (主管机关应规划及推动国家整体资通安全政策等相关事宜,并定期公布国家资通安全情势报告)

      主管机关应规划并推动国家资通安全政策、资通安全科技发展、国际交流合作及资通安全整体防护等相关事宜,并应定期公布国家资通安全情势报告、对公务机关资通安全维护计划实施情形稽核概况报告及资通安全发展方案。
      前项情势报告、实施情形稽核概况报告及资通安全发展方案,应送立法院备查。

    第六条 (主管机关得委任或委托其他公务机关、法人或团体办理资通安全整体防护相关事务)

      主管机关得委任或委托其他公务机关、法人或团体,办理资通安全整体防护、国际交流合作及其他资通安全相关事务。
      前项被委托之公务机关、法人或团体或被复委托者,不得泄露在执行或办理相关事务过程中所获悉关键基础设施提供者之秘密。

    第七条 (主管机关应订定资通安全责任等级分级办法,并得稽核特定非公务机关之资通安全维护情形)

      主管机关应衡酌公务机关及特定非公务机关业务之重要性与机敏性、机关层级、保有或处理之资讯种类、数量、性质、资通系统之规模及性质等条件,订定资通安全责任等级之分级;其分级基准、等级变更申请、义务内容、专责人员之设置及其他相关事项之办法,由主管机关定之。
      主管机关得稽核特定非公务机关之资通安全维护计划实施情形;其稽核之频率、内容与方法及其他相关事项之办法,由主管机关定之。
      特定非公务机关受前项之稽核,经发现其资通安全维护计划实施有缺失或待改善者,应向主管机关提出改善报告,并送中央目的事业主管机关。

    第八条 (主管机关应建立资通安全情资分享机制,并订定相关事项之办法)

      主管机关应建立资通安全情资分享机制。
      前项资通安全情资之分析、整合与分享之内容、程序、方法及其他相关事项之办法,由主管机关定之。

    第九条 (公务机关或特定非公务机关,于本法适用范围内,委外办理资通系统或资通服务事宜时,应就受托者之资通安全维护为监督)

      公务机关或特定非公务机关,于本法适用范围内,委外办理资通系统之建置、维运或资通服务之提供,应考量受托者之专业能力与经验、委外项目之性质及资通安全需求,选任适当之受托者,并监督其资通安全维护情形。

    第二章 公务机关资通安全管理

    第十条 (公务机关应考量其所属资通安全责任等级之要求及保有或处理之资讯种类等条件,订定、修正及实施资通安全维护计划)

      公务机关应符合其所属资通安全责任等级之要求,并考量其所保有或处理之资讯种类、数量、性质、资通系统之规模与性质等条件,订定、修正及实施资通安全维护计划。

    第十一条 (资通安全长之设置)

      公务机关应置资通安全长,由机关首长指派副首长或适当人员兼任,负责推动及监督机关内资通安全相关事务。

    第十二条 (公务机关应向上级或监督机关提出资通安全维护计划之实施情形)

      公务机关应每年向上级或监督机关提出资通安全维护计划实施情形;无上级机关者,其资通安全维护计划实施情形应送交主管机关。

    第十三条 (公务机关应稽核其所属或监督机关之资通安全维护计划实施情形)

      公务机关应稽核其所属或监督机关之资通安全维护计划实施情形。
      受稽核机关之资通安全维护计划实施有缺失或待改善者,应提出改善报告,送交稽核机关及上级或监督机关。

    第十四条 (公务机关应订定资通安全事件之通报及应变机制)

      公务机关为因应资通安全事件,应订定通报及应变机制。
      公务机关知悉资通安全事件时,除应通报上级或监督机关外,并应通报主管机关;无上级机关者,应通报主管机关。
      公务机关应向上级或监督机关提出资通安全事件调查、处理及改善报告,并送交主管机关;无上级机关者,应送交主管机关。
      前三项通报及应变机制之必要事项、通报内容、报告之提出及其他相关事项之办法,由主管机关定之。

    第十五条 (公务机关所属人员就资通安全维护绩优之奖励)

      公务机关所属人员对于机关之资通安全维护绩效优良者,应予奖励。
      前项奖励事项之办法,由主管机关定之。

    第三章 特定非公务机关资通安全管理

    第十六条 (关键基础设施提供者,应订定、修正及实施资通安全维护计划)

      中央目的事业主管机关应于征询相关公务机关、民间团体、专家学者之意见后,指定关键基础设施提供者,报请主管机关核定,并以书面通知受核定者。
      关键基础设施提供者应符合其所属资通安全责任等级之要求,并考量其所保有或处理之资讯种类、数量、性质、资通系统之规模与性质等条件,订定、修正及实施资通安全维护计划。
      关键基础设施提供者应向中央目的事业主管机关提出资通安全维护计划实施情形。
      中央目的事业主管机关应稽核所管关键基础设施提供者之资通安全维护计划实施情形。
      关键基础设施提供者之资通安全维护计划实施有缺失或待改善者,应提出改善报告,送交中央目的事业主管机关。
      第二项至第五项之资通安全维护计划必要事项、实施情形之提出、稽核之频率、内容与方法、改善报告之提出及其他应遵行事项之办法,由中央目的事业主管机关拟订,报请主管机关核定之。

    第十七条 (关键基础设施提供者以外之特定非公务机关,应订定、修正及实施资通安全维护计划)

      关键基础设施提供者以外之特定非公务机关,应符合其所属资通安全责任等级之要求,并考量其所保有或处理之资讯种类、数量、性质、资通系统之规模与性质等条件,订定、修正及实施资通安全维护计划。
      中央目的事业主管机关得要求所管前项特定非公务机关,提出资通安全维护计划实施情形。
      中央目的事业主管机关得稽核所管第一项特定非公务机关之资通安全维护计划实施情形,发现有缺失或待改善者,应限期要求受稽核之特定非公务机关提出改善报告。
      前三项之资通安全维护计划必要事项、实施情形之提出、稽核之频率、内容与方法、改善报告之提出及其他应遵行事项之办法,由中央目的事业主管机关拟订,报请主管机关核定之。

    第十八条 (特定非公务机关应订定资通安全事件之通报及应变机制)

      特定非公务机关为因应资通安全事件,应订定通报及应变机制。
      特定非公务机关于知悉资通安全事件时,应向中央目的事业主管机关通报。
      特定非公务机关应向中央目的事业主管机关提出资通安全事件调查、处理及改善报告;如为重大资通安全事件者,并应送交主管机关。
      前三项通报及应变机制之必要事项、通报内容、报告之提出及其他应遵行事项之办法,由主管机关定之。
      知悉重大资通安全事件时,主管机关或中央目的事业主管机关于适当时机得公告与事件相关之必要内容及因应措施,并得提供相关协助。

    第四章 罚则

    第十九条 (公务机关所属人员未遵守本法规定之惩处)

      公务机关所属人员未遵守本法规定者,应按其情节轻重,依相关规定予以惩戒或惩处。
      前项惩处事项之办法,由主管机关定之。

    第二十条 (特定非公务机关违反本法相关规定之处罚)

      特定非公务机关有下列情形之一者,由中央目的事业主管机关令限期改正;届期未改正者,按次处新台币十万元以上一百万元以下罚锾:
      一、未依第十六条第二项或第十七条第一项规定,订定、修正或实施资通安全维护计划,或违反第十六条第六项或第十七条第四项所定办法中有关资通安全维护计划必要事项之规定。
      二、未依第十六条第三项或第十七条第二项规定,向中央目的事业主管机关提出资通安全维护计划之实施情形,或违反第十六条第六项或第十七条第四项所定办法中有关资通安全维护计划实施情形提出之规定。
      三、未依第七条第三项、第十六条第五项或第十七条第三项规定,提出改善报告送交主管机关、中央目的事业主管机关,或违反第十六条第六项或第十七条第四项所定办法中有关改善报告提出之规定。
      四、未依第十八条第一项规定,订定资通安全事件之通报及应变机制,或违反第十八条第四项所定办法中有关通报及应变机制必要事项之规定。
      五、未依第十八条第三项规定,向中央目的事业主管机关或主管机关提出资通安全事件之调查、处理及改善报告,或违反第十八条第四项所定办法中有关报告提出之规定。
      六、违反第十八条第四项所定办法中有关通报内容之规定。

    第二十一条 (特定非公务机关知悉资通安全事件未通报之处罚)

      特定非公务机关未依第十八条第二项规定,通报资通安全事件,由中央目的事业主管机关处新台币三十万元以上五百万元以下罚锾,并令限期改正;届期未改正者,按次处罚之。

    第五章 附则

    第二十二条 (施行细则)

      本法施行细则,由主管机关定之。

    第二十三条 (施行日)

      本法施行日期,由主管机关定之。