行政院環境保護署所管特定非公務機關資通安全管理作業辦法

第三章資通安全維護計畫實施情形之稽核第6 條本署應於每年十月底前擇定關鍵基礎設施提供者，並得擇定其他特定非公務機關，以現場實地稽核之方式，稽核其資通安全維護計畫 ... 跳到主要內容區塊 ::: 現在位置： 法規內容  友善列印 法規內容 法規名稱： 行政院環境保護署所管特定非公務機關資通安全管理作業辦法 公發布日： 民國108年05月07日 發文字號： 環署資字第1080030909號令 法規體系： 環境監測及資訊處/資訊安全 立法理由： 中華民國108年5月7日訂定總說明及逐條說明.pdf 法規功能按鈕區 法規內容 條文檢索 法規沿革 　　第一章總則 第1條 本辦法依資通安全管理法（以下簡稱本法）第十六條第六項及第十七條第 四項規定訂定之。

第2條 本辦法所稱關鍵基礎設施提供者，指行政院環境保護署（以下簡稱本署） 依本法第十六條第一項規定指定，報請主管機關核定者。

　　第二章資通安全維護計畫必要事項及實施情形之提出 第3條 本署所管特定非公務機關（以下簡稱特定非公務機關）之資通安全維護計 畫，應依本法施行細則第六條第一項規定辦理。

特定非公務機關依本法第十六條第三項或第十七條第二項規定提出資通安 全維護計畫實施情形，應依本法施行細則第六條第二項規定辦理。

第4條 關鍵基礎設施提供者應於每年二月底前，依本署指定之方式提出資通安全 維護計畫。

關鍵基礎設施提供者以外之特定非公務機關，經本署要求提出資通安全維 護計畫者，應於收受本署通知後一個月內，依本署指定之方式提出。

第5條 關鍵基礎設施提供者應於每年七月底前，依本署指定之方式提出資通安全 維護計畫實施情形。

關鍵基礎設施提供者以外之特定非公務機關，經本署依本法第十七條第二 項規定要求提出資通安全維護計畫實施情形者，應於收受本署通知後一個 月內，依本署指定之方式提出。

　　第三章資通安全維護計畫實施情形之稽核 第6條 本署應於每年十月底前擇定關鍵基礎設施提供者，並得擇定其他特定非公 務機關，以現場實地稽核之方式，稽核其資通安全維護計畫實施情形。

本署為辦理前項稽核，應訂定稽核計畫，其內容包括稽核之依據與目的、 期間、稽核小組組成方式、保密義務、稽核方式、基準及項目等與稽核相 關之事項。

本署決定前項稽核之基準及項目時，應綜合考量我國資通安全政策、國內 外資通安全趨勢、過往稽核成效及稽核資源等因素。

本署依第一項規定擇定受稽核之特定非公務機關（以下簡稱受稽核者）時 ，應綜合考量其資通安全責任等級、資通安全事件發生之頻率與程度、資 通安全演練之成果、歷年受主管機關或本署稽核之頻率與結果及其他與資 通安全相關之因素。

第7條 本署辦理前條第一項之稽核，應於一個月前將稽核計畫以書面通知受稽核 者。

受稽核者因業務因素或其他正當理由，未能於本署指定之時間配合稽核者 ，得於收受前項通知後五日內，以書面敘明理由向本署申請變更稽核日期 。

前項申請，除有不可抗力之事由外，以一次為限。

第8條 本署辦理第六條第一項之稽核，得要求受稽核者為資通安全維護計畫實施 情形之相關說明、協力或提供相關文件或證明供現場查閱，並執行下列事 項： 一、稽核前訪談。

二、現場實地稽核。

受稽核者依法律有正當理由，未能為前項說明、配合措施或提供資料時， 應以書面敘明理由，向本署提出。

本署收受前項書面後，應進行審核，依下列規定辦理，並得停止稽核作業 之全部或一部： 一、認有理由者，應將審核之依據及相關資訊記載於稽核結果報告。

二、認無理由者，應要求受稽核者依第一項規定辦理；已停止稽核作業者 ，得擇期續行辦理，並於十日前以書面通知受稽核者。

第9條 本署為辦理第六條第一項之稽核，應依同條第四項之考量因素及實際稽核 需求，就各受稽核者分別組成稽核小組。

前項稽核小組成員三人至七人，由具備資通安全政策或該次稽核所需之技 術、管理、法律或實務專業知識之公務機關代表或專家學者擔任；其中公 務機關代表不得少於全體成員人數之三分之一。

前項公務機關代表或專家學者有下列情形之一者，應主動迴避擔任該次稽 核之稽核小組成員： 一、本人、其配偶、三親等內親屬、家屬或上開人員財產信託之受託人， 與受稽核者或其負責人間有財產上或非財產上之利害關係。

二、本人、其配偶、三親等內親屬或家屬，與受稽核者或其負責人間，目 前或過去二年內有僱傭、承攬、委任、代理或其他類似之關係。

三、本人目前或過去二年內曾任職之機關（構）、事業或單位，曾為受稽 核者進行與受稽核項目相關之顧問輔導。

四、其他足認擔任稽核小組成員將影響稽核結果公正性之情形。

本署應以書面與稽核小組成員約定利益衝突之迴避事項及執行稽核之保密 義務。

第10條 本署應於稽核作業完成後一個月內，將稽核結果報告交付受稽核者。

前項稽核結果報告之內容，應包括稽核之範圍、缺失或待改善事項、第八 條第二項所定受稽核者未能為說明、配合措施或提供資料之情形與理由及 其他相關事項。

本署辦理稽核後，應於次年度一月底前彙整第一項稽核結果報告，並提交 主管機關備查。

第11條 受稽核者經發現其資通安全維護計畫實施情形有缺失或待改善者，應於收 受稽核結果報告後一個月內，依本法施行細則第三條規定及本署指定之方 式，向本署提出改善報告。

受稽核者依前項規定提出改善報告後，應依其缺失或待改善事項之性質及 程度，適時以書面提出改善報告之執行情形；本署認有必要時，得要求受 稽核者進行說明或調整。

　　第四章附則 第12條 本辦法所定書面，依電子簽章法之規定，得以電子文件為之。

第13條 本辦法所定資通安全維護計畫實施情形之稽核事務，本署得委任所屬機關 或委託其他公務機關辦理。

前項受委任或委託之公務機關對於辦理受任或受託事務所獲悉特定非公務 機關之秘密，不得洩漏。

第14條 本辦法自發布日施行。