公共政策網路參與平臺

綜整回應:

宮屏惠小姐 好

有關您提到公私部門處理電子商務應對個人資料善盡保護責任之議題，目前已有「個人資料保護法」進行規範，另依「資通安全管理法」之子法「資通安全責任等級分級辦法」草案規定，公務機關或特定非公務機關如持有全國民眾個人資料檔案者，應負有較高之資安責任等級，須達到較高之資安防護基準要求，以降低資安風險。

Koney好：

本法所稱「專責人員」係指指定專人負責辦理資安工作，惟資安工作可為其兼辦之業務，先予敘明，另機關之資安責任等級如經核定為B級，意即貴組織業務具相當程度之關鍵性與重要性，即應投入人力資源進行資安相關防護，非以現行人力多寡作為資安人力投入之衡量基準。

此外，一般組織之資通系統或服務雖可透過委外方式辦理，惟對於組織之資通安全政策、計畫及技術規範之研議、建置、評估及稽核等事項，仍應由組織自行辦理，非由委外單位可完全承擔，故配置資安專責人員仍屬必要。

YOYO 好：

專職人員跟專責人員的差異在於對資安工作投入之程度，「專職人員」是指全職辦理資安工作的同仁，「專責人員」則是指定專人負責辦理資安工作，惟資安工作可為其兼辦之業務。

至於公務機關補實資安專職人員之作法，並不限係採增編人力或現有員額內進行調整補充，應視機關人力運用情形而定，建議洽商人事單位意見。

YOYO 好：

您所提機關若自行或委外開發全球資訊網及設置伺服器，依「資通安全管理法」之「資通安全責任等級分級辦法」第六條規定，機關之資通安全責任等級確實應為C級。

另如資安責任等級C級機關且無核心資通系統，可依前項相關辦法規定，無須辦理系統持續運作演練。

Koney 好：

依據您所述業務，非屬資通安全責任等級分級辦法草案 第5條 第1項 所稱「區域性或地區性民眾個人資料檔案之持有或處理」之情形。

Oo好：

是。資通安全管理法及子法施行後，機關應依法執行各項規定，對本法生效以前的行爲並不適用。

Din好：

子法條文內容目前仍以中文為主，您的建議，後續本處會研究評估做法，或透過說明會或文件範本讓大家清楚理解。

Net好：

資通安全事件通報應變辦法中要求各機關提出「調查、處理及改善報告」，事件通報及結案係在現行通報網站進行，但3,4級事件在網站上填報後，如上級或監督機關或主管機關認為有必要時，會再要求交付紙本文件說明。

實兵演練未來通報的方式會比照現行的作法。

Insider 好：

資通安全管理法係以風險管理為原則，藉由機關資安責任等級分級、資產盤點、風險評鑑、資通系統防護等級分級等，部署相當防護機制，人員的管理也是防護機制的一環，在子法草案中，已將相關防護措施納入，如「資通安全責任等級分級辦法」草案中，各機關應辦事項-技術面之資通安全健診、資通安全監控管理機制、政府組態基準、認知教育面等規範，以及資通系統防護基準中，存取控制、識別與鑑別二構面之各相關措施等，皆屬具體之內部安全管控作為。

Shield 好：

感謝您的建議，「資通安全責任等級分級辦法」草案之附表「資通系統防護基準」中，已設計存取控制、識別與鑑別、系統與通訊保護等構面之各相關措施等，皆屬具體之內部安全管控作為。

小力好：

關鍵基礎設施領域之資安防護如有特殊性，仍可由中央目的事業主管機關訂定相關之防護基準。

Iron好：

謝謝您的建議，將再檢視文字內容。

Din 好：

各機關進行情資分享方式主要是透過資通系統或電子郵件方式進行，「資通安全情資分享辦法」第7條中規範以傳真方式是當前述2項方式在特例情形下皆無法運作下，所設置之暫時替代方式。

另外，情資分享時的相關防護機制，已規範於「資通安全情資分享辦法」第5條，即納管對象在情資分享時應規劃適當之安全維護措施。