iT邦幫忙

2022 iThome 鐵人賽
DAY 9
0
Security

合規合規,合什麼規?系列 第 9

[Day 9] 被資安法管轄後,會發生什麼事?(之 5 - 資安責任等級)

14th鐵人賽 資安合規 合規 資安管理 資安管理法
1460 瀏覽

  • 分享至 

  • xImage
    •  

如果不含子法附件的話,今天是本系列文章中,介紹資安法的最後一篇,法規名稱為《資通安全責任等級分級辦法》,條文主要為明訂出分級的標準,而十個附件中則為各級別的應辦事項、防護基準等,接下來的幾天將會就各附件內容進行說明。

資安責任等級分類

依照第二條規定,公務機關、特定非公務機關的資安責任等級,由高到低分為 A~E 共五個級別;同時第九條規定,若同時符合多個級別的條件,則以符合條件的最高等級認定。

根據第四條至第八條規定,分級的標準如下:

A 級

  • 業務涉及國家機密。
  • 業務涉及外交、國防、國土安全。
  • 業務涉及全國性民眾服務、跨公務機關共用資通系統維運。
  • 業務涉及全國性民眾、公務員個資持有。
  • 業務涉及全國性 CI 的公務機關。
  • 中央目的事業主管機關考量該 CI 的用戶數、市場占有率、區域、可替代性後,認為資通系統失效或受影響時,對社會或民眾將產生災難性或非常嚴重的影響。
  • 公立醫學中心。

B 級

  • 業務涉及公務機關捐助、資助、研發的國家核心科技資安維護與管理。
  • 業務涉及區域性、地區性民眾服務或跨公務機關共用資通系統維運。
  • 業務涉及區域性、地區性民眾個資。
  • 業務涉及中央二級機關、所屬各級機關共用資通系統維運。
  • 業務涉及區域性、地區性 CI 的公務機關。
  • 中央目的事業主管機關考量該 CI 的用戶數、市場占有率、區域、可替代性後,認為資通系統失效或受影響時,對社會或民眾將產嚴重的影響。
  • 公立區域醫院、地區醫院。

C 級

僅維運自行或委外開發的資通系統,且該資通系統具有權限區分與管理功能。

D 級

自行辦理資通業務,沒有維運任何資通系統。

E 級

  • 沒有任何資通系統,也沒有提供任何資通服務。
  • 所有資通業務皆由上級(或其指定的公務機關)、監督機關負責的公務機關。
  • 所有資通業務皆由中央目的事業主管機關(或其所屬公務機關、所管特定非公務機關、出資公務機關)負責的特定非公務機關。

資安責任等級認定

機關自行認定

依照第三條規定,公務機關皆需要每兩年評估自身的資通安全責任等級,並送主管機關(行政院),但方式有些不同:

  • 主管機關(行政院):自行核定。
  • 行政院直屬機關:提交所屬、監督的公務機關、所管特定非公務機關的資安責任等級,報行政院核定。
  • 直轄市、縣市政府:提交所屬、監督的公務機關,及鄉鎮市公所、山地原住民區公所與其所屬、監督的公務機關的資安責任等級,報行政院核定。
  • 議會、鄉鎮市民代表會、山地原住民區民代表會:提交自身資安責任等級,由直轄市、縣市政府統一彙整,送行政院核定。
  • 總統府、國安會、行政院以外的五院:提交所屬、監督的公務機關,及鄉鎮市公所、山地原住民區公所與其所屬、監督的公務機關的資安責任等級,送行政院備查。

【核定?備查?】
依照《地方制度法》第二條規定,「核定」為上級機關就下級機關陳報事項進行審查,並做成「核定」或「不予核定」的決定,在尚未核定前,不具備任何法定效力;「備查」則為下級機關之間,可以自行決定的業務,僅為通知上級機關,上級機關無權審查或做出任何決定。

資安責任等級調整

  • 若機關因為組織或業務調整、新設機關,導致需要變更資安責任等級,也需要依照前面的認定程序送主管機關核定或備查。(第二條第六項)
  • 若公務機關或非公務機關考量內部某些單位業務性質不同,可以與機關整體的等級不同。(第二條第七項)
  • 公務機關提交或核定資安責任等級時,可考量下列對國安、社會利益、人民安全、公務機關聲譽的影響程度,自行調整等級(第十條):
  1. 涉及外交、國防、國土安全、全國性、區域性或地區性之能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院業務,其中斷或受妨礙。
  2. 涉及個資、公務機密或其他依法規、契約應為秘密的資訊,其資料、公務機密或其他資訊的數量與性質、遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害。
  3. 各機關依層級不同,功能受到影響、失效、中斷。
  4. 其他與資通系統提供、維運、規模性質相關的具體事項。

應辦事項

依照第十一條規定,完成資安責任等級後,需要辦理以下事項:

  • 需依照自身資安責任等級,辦理附表一到八的事項。
  • 自行或委外開發的資通系統,需依附表九《資通系統防護需求分級原則》完成分級,並依附表十《資通系統防護基準》執行控制措施。
  • 特定非公務機關的中央目的事業主管機關,認為特定類型資通系統有另外規定的必要時,可自行擬訂防護基準,報主管機關核定後,依照自行擬定的規定辦理。
  • 執行附表一至十的事項,有特定事項或控制措施執行明顯有困難時,由該等級的提交機關、核定機關同意,並報行政院備查後,可以不需要執行。
  • A、B 級公務機關,需要依照行政院指定方式,提報應辦事項、資通系統防護需求分級、資通系統防護基準的執行狀況。
  • 中央目的事業主管機關可以要求所管的特定非公務機關,提報應辦事項、資通系統防護需求分級、資通系統防護基準的執行狀況。

上一篇
[Day 8] 被資安法管轄後,會發生什麼事?(之 4 - 資安情資分享)
下一篇
[Day 10] 分級後,要做什麼?(A 級機關)
系列文
合規合規,合什麼規?30
  1. 26
    [Day 26] 個資保護標準
  2. 27
    [Day 27] 個資保護法規
  3. 28
    [Day 28] 政府組態基準(GCB)
  4. 29
    [Day 29] 上市櫃公司資安規範
  5. 30
    [Day 30] 總結&心得
完整目錄
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22198
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙