政府機關(構)資通安全責任等級分級作業規定
壹、
目的
為明確規範政府機關(構)資通安全責任等級分級作業流程,透過資通安全(以下簡稱資安)管理,以防範潛在資安威脅,進而提升國家資安防護水準,特訂定「政府機關(構)資通安全責任等級分級作業規定」(以下簡稱本規定)。
貳、
適用對象
一、 中央及地方政府機關(含行政法人)。
二、 國(公)營事業、醫療及學術機構。
三、 由政府委託民間興建營運後轉移(Build-Operate-Transfer, BOT)之關鍵資訊基礎設施(Critical Information Infrastructure,CII)之營運單位。關鍵資訊基礎設施,指涉及核心業務運作,為支持關鍵基礎設施持續營運所需之重要資訊系統或調度、控制系統(Supervisory
Control and Data Acquisition, SCADA),亦屬關鍵基礎設施之重要元件,應配合對應之關鍵基礎設施統一納管。
參、
分級原則
一、 政府機關層級。
二、 涉及外交、國防、國土安全、財政、經濟、警政等重要業務。
四、 涉及全國、區域性或地區性個人資料檔案。
肆、
具體作法
一、 政府機關(構)資安責任等級
(一)
政府機關
1. A級
(1)
總統府、國家安全會議、立法院、司法院、考試院、監察院、行政院及直轄市政府。
(2) 立法院、司法院、考試院、監察院及行政院等所屬二級機關、相當二級機關之獨立機關(以下合稱二級機關)。但其業務或組織單純者,得報經其上級機關核准,調整為B級或C級。
(3)
凡涉及外交、國防、國土安全,及掌理全國財政、經濟、警政等重要業務之機關,如外交部領事事務局、內政部警政署刑事警察局等。
(4)
負責能源、水資源、通訊傳播、交通、金融、緊急救援、高科技園區等關鍵資訊基礎設施之營運機關,如交通部民用航空局飛航服務總臺等。
(5)
保有全國性個人資料檔案之機關,如勞動部勞工保險局、衛生福利部中央健康保險署等。
2. B級
(1)
縣(市)政府。
(2)
凡涉及社會秩序及人民財產業務之機關,如地方政府警察局、地方政府地政事務所等。
(3)
保有區域性或地區性個人資料檔案之機關,如財政部各地區國稅局、地方政府戶政事務所等。
3. C級
其他政府機關及地方政府民意機關。
(二)
學術機構
1. A級
凡涉及各相關機關委託研究具國家安全機密性或敏感性之學校。
2. B級
(1)
各大學。
(2)
臺灣學術網路各區域網路中心暨各直轄市、縣(市)教育網路中心。
3. C級
(1)
各學院、專科學校及高級中等以下學校。
(2)
教育部所屬研究機構。
(三)
國(公)營事業、醫療機構及其他
1. A級
(2)
由政府委託民間興建營運後轉移之關鍵資訊基礎設施之營運單位,如遠通電收股份有限公司、台灣高速鐵路股份有限公司、高雄捷運股份有限公司等。
(3)
醫學中心,如國立臺灣大學醫學院附設醫院、臺北榮民總醫院等。
(4)
保有全國性個人資料檔案之機構,如中華郵政股份有限公司等。
2. B級
(1)
國(公)營事業涉及全國或地方民生資源等業務,如台灣糖業股份有限公司等。
(3)
保有區域性或地區性個人資料檔案之機構。
3. C級
(1)
其他國(公)營事業機構,如金門酒廠實業股份有限公司、福建省連江縣馬祖日報社等。
(2)
地區醫院,如臺北市立關渡醫院、國立成功大學醫學院附設醫院斗六分院、臺北榮民總醫院新竹分院等。
二、 政府機關(構)符合前點所述一個以上之等級者,適用最高等級。
三、 行政院所屬二級機關、各直轄市及縣(市)政府,應檢視其所屬機關(構)(含行政法人)資安責任等級之分級及其妥適性,並彙送行政院資通安全辦公室,經該辦公室複核後,提請行政院國家資通安全會報核定資安責任等級,其修正亦同。
四、 總統府、國家安全會議、立法院、司法院、考試院、監察院所屬機關(構)之資安責任等級,比照前點規定辦理,並送請行政院國家資通安全會報備查。
五、 原為國(公)營已民營化之事業、公辦民營事業、民營公用事業及政府捐助成立之財團法人,得由其主管(監督)機關參照本規定,自行訂定資安責任等級,並依其訂定之應辦事項監督管理。
六、
政府機關(構)除遵循行政院及所屬各機關資安管理規範外,依其資安等級,應辦理之工作事項如附表。
1040001553
沒有留言:
張貼留言
注意:只有此網誌的成員可以留言。