跳到主要內容區

相關常見問題

資料來源:數位發展部資通安全署—資安法常見問題

enlightened「資通安全管理法常見問題」8.1.
資安法施行後,如執行不力公務人員是否會被記過?

機關人員未依資安法、資安法授權訂定之法規或機關內部規範辦理資安事項,經主管機關、上級或監督機關評定績效不良,且疏導無效情節重大者始可能進行懲處,機關人員如已依規定辦理者,不致受懲。

enlightened「資通安全管理法常見問題」8.2.
資通安全和資訊安全的差異為何?

資通安全涵蓋資訊與通信,範圍較資訊廣泛,目前多以資通安全稱之。

enlightened「資通安全管理法常見問題」8.3.
施行細則第4條有關委外辦理資通系統建置或資通服務提供資通服務提供的定義為何?PC維護案是否屬之須不須有第三方驗證?

(一)資通服務之定義依母法第3條規定,指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。是以PC維護屬資通服務之一種。

(二)施行細則第4條要求應注意受託者「具備完善之資通安全管理措施」或「通過第三方驗證」通過第三方驗證並不是必要項。

enlightened「資通安全管理法常見問題」8.4.
若系統資料含特種個資,該系統防護需求等級是否一定要列為「高」?若含一般個資,系統防護需求等級是否一定要列為「中」以上?或是依系統所含個資種類、數量等,是否有建議的系統防護需求分級參考?

各機關應依資通安全責任等級分級辦法附表九資通系統防護需求分級原則,就機關業務屬性、系統特性及資料持有情形等,訂定較客觀及量化之衡量指標,據以一致性評估機關資通系統之防護需求。

enlightened「資通安全管理法常見問題」8.5.
機關如欲與主管機關進行情資分享,其分享方式為何?

行政院已於110年第2季提供線上填報情資功能,供機關運用,機關如欲依資通安全情資分享辦法第3條第3項進行情資分享,可於資通安全事件通報及應變網站(https://www.ncert.nat.gov.tw/)以一般機關身分登入後,選擇上方「情資分享功能」填報分享。

enlightened「資通安全管理法常見問題」8.6.
有關「限制使用危害國家資通安全產品」是否會提供相關清單?此外,在未公布清單前是否有相關參考作法?

(一)考量危害國家資通安全產品由主管機關核定廠商清單效益有限,後續將由主管機關透過跨部會協調平臺與各機關溝通,推動危害國家資通安全產品之限制使用事宜。

(二)現階段係請各公務機關依行政院秘書長109年12月18日院臺護長字第1090201804A號函,禁止使用及採購大陸廠牌資通訊產品(含軟體、硬體及服務),其相關注意事項如下:

1. 大陸廠牌:指本院公共工程委員會107年12月20日工程企字第1070050131號函所稱「大陸地區廠商」,至於「第三地區含陸資成分廠商」及「在臺陸資廠商」原則非屬上述範圍,惟各機關於辦理採購案時,如屬經濟部投資審議委員會公告「具敏感性或國安含資安疑慮之業務範疇」,應確實於招標文件中載明不允許經濟部投資審議委員會公告之陸資資訊服務業者參與。

2. 陸籍人士:指委外廠商執行標案之團隊成員,其現行國籍不得為中國大陸國籍。另,針對多重國籍部分,如其一國籍屬中國大陸國籍亦屬限制範圍 ;此外,針對香港國籍及澳門國籍人士非屬上述限制範圍。

3. 考量實務執行問題,現行僅限制其最終資通訊產品不可為大陸廠牌,暫未限制大陸廠牌零組件。

4. 各機關辦理資通訊相關採購,得依個案特性及實際需要於採購文件中評估限制委外廠商及其分包廠商不得提供大陸地區廠商所生產或製造零組件。

enlightened「資通安全管理法常見問題」8.7.
為使政府機關於建置或使用雲端服務時,降低可能之風險,相關資安要求事項如下:

(一)應禁止使用大陸地區(含香港及澳門地區)廠商之雲端服務運算提供者。

(二)提供機關雲端服務所使用之資通訊產品(含軟硬體及服務)不得為大陸廠牌,執行委外案之境內團隊成員 (含分包廠商)亦不得有陸籍人士參與,就境外雲端服務之執行團隊成員,至少應具備相關國際標準之人員 安全管控機制,並通過驗證。另,雲端服務提供者自行設計之白牌設備暫不納入限制。

(三)機關應評估機敏資料於雲端服務存取、備份及備援之實體所在地不得位於大陸地區(含香港及澳門地區),且不得跨該等境內傳輸相關資料。

017424