公共政策網路參與平臺

綜整回應:

感謝各界之意見，謹回復如下：

1.有關ABC級特定非公務機關資通安全專職人員之專業資格要求，本部採納多位民眾之意見，修改為持有資通安全專業證照或職能訓練證書一張以上即可。

2.有關建議將「資通安全事件通報及應變辦法」之相關演練，集中至「資通安全責 任等級分級辦法」此意見，本部不予參採，理由如下:

因有關演練作業及其他相關事項之辦法，係依「資通安全管理法」第17條第4項規定，訂定於「資通安全事件通報及應變 辦法」。且有關演練作業係屬上級機關或監督機關權責事項，無涉機關自身資通安全責任等級。考量二者法源依據、規範目的及內容皆不相同，爰不宜調整。

3.有關提報定期關鍵基礎設施防護計畫、CI 演練、CI巡檢等業務是否可由資安專職人員全權負責，或僅限與CI或其他涉及資通系統、 資通安全項目才由資安專職人員處理之提問，本部說明如下:

定期提報關鍵基礎設施防護計畫、CI演練、CI 巡檢等業務，屬於「國家關鍵基礎設施安全防護指導綱領」之範疇，涵蓋面向以全災害為安全防護考量，目的為辨識潛在威脅與災害影響，縮減設施失效影響範圍與程度，提高應變效率並加速復原。 前揭業務之承辦層級及分工方式，建議依機關內部之協調機制辦理。

4.有關民眾BoBo之三項意見，本部皆部分參採，謹說明如下:

(1) 本部已訂定「政府領域聯防監控作業規範」，並公開於國家資通安全研究院官網之國家資安聯防監控中心(N-SOC) 專區，內容包含各角色權責分工、作業流程及監控情資格式 等，供公務機關及資安託管服務供應商參採。後續本部將調整該作業規範名稱與內容，納入特定非公務機關角色權責，及相關資料安全性與保存方式規定，進一步完善該作業規範並週知各機關。

(2) 有關「依主管機關指定方式導入弱點管理作業」 的建議，將於後續提供指定方式時，考量是否應依關鍵基礎設施提供者之業務與系統特性，導入適切的弱點管理作法。

(3) 現行「端點偵測及應變機制(EDR)」之偵測資料，係併同「資通安全威脅偵測管理機制(SOC)」一併回傳。相關規範、常見問答及格式欄位等，均已公開於國家資通安全研究院 官網之端點偵測及應變機制(EDR) 專區，供公務機關及資安託管服務供應商參採。後續本部將併同前述聯防監控作業規範周知各機關。

5.有關C級之特定非公務機關應辦事項，有關[資通安全專職人員一名]，建議維持原案[資通安全專責人員一名]此意見，本部不予參採，謹說明如下:

考量資安威脅日漸加劇，資安作業須持續維持，為強化特定非公務機關資安防護量能並即時應處相關資安事件，避免其他業務排擠資安業務量能造成事件擴散，需要投入相關成本，故設置專人專職辦理資通安全業務，以落實事前、事中及事後各項資安作業，確保各機關或組織具有安全可靠之資通環境。另依附表備註之說明，資通安全專職人員係指應全職執行資通安全業務者，亦即資通安全為其主要核心業務，且應優先辦理，故該等人員亦得處理其他資訊業務，併此敘明。