資通安全維護計畫撰寫及實施情形填報
一、資安法施行細則第6條第1項定有13款事項,詳參該法條文。
二、數位發展部資通安全署網站之資安法規專區(網址:https://moda.gov.tw/ACS/laws/documents/680)亦已提供資通安全維護計畫範本。
一、有關公務機關資通安全維護計畫內容,已置於數位發展部資通安全署網站之資安法規專區(網址:https://moda.gov.tw/ACS/laws/documents/680)中。
二、上級或監督機關、中央目的事業主管機關亦得視需要提供維護計畫範本供所屬或所管機關參用。(詳參資安法第16、17條說明)。
- 一、有關公務機關資通安全維護計畫內容,已置於數位發展部資通安全署網站之資安法規專區(網址:https://moda.gov.tw/ACS/laws/documents/680)中。
- 二、上級或監督機關、中央目的事業主管機關亦得視需要提供維護計畫範本供所屬或所管機關參用。(詳參資安法第16、17條說明)。
資通安全維護計畫援引之文件,原則上應做為附件一併提交,惟如機關已通過CNS 27001(ISO 27001)驗證,所援引之文件係CNS 27001(ISO 27001)相關文件者,應說明文件名稱及章節,除另有要求外,原則不需提交。
若機關已有相關資安推動組織,應於現行體制運作融入法規要求並進行調整即可,無須另成立新推動組織;至於是否宜合併他機關組織進行運作,仍須視實務可行性而定(如機關資通業務多已向上級機關集中,則可行性較高)。
建議公務機關依此文件進行資安風險評鑑作業,俾利建立公務機關間一致性之作法與基準。詳參國家資通安全研究院發布之「資通系統風險評鑑參考指引」(https://www.nics.nat.gov.tw/cybersecurity_resources/reference_guide/Common_Standards/)。
資安法施行細則第7條已明定核心業務之範圍,建議機關依此定義辨識機關之核心業務。另外,機關亦可參考現行內部控制制度所選定業務項目或經業務衝擊影響分析(BIA)後所辨識之重要業務作為核心業務。
資安法施行細則第6條訂有資通安全維護計畫之內容框架,計畫內容則由機關依業務特性研擬資安防護作為,個人資料保護屬機關資料保護範圍之一環,相關保護措施可併入現有資料防護作業辦理,機關如經評估有強化個資保護之必要,可增強防護措施並呈現於資安維護計畫內。
共11筆資料