- 民國 106 年 05 月 22 日
-
一、經查經濟部標準檢驗局一○三年四月二十四日公告 CNS 27001「資訊技術- 安全
技術- 資訊安全管理系統-要求事項」國家標準,CNS 27001 係參考二○一三年
最新版 ISO/IEC 27001 國際標準修訂,爰酌為修正第一項及第二項文字。
二、審酌經營者經主管機關核准其應通過資通安全國際驗證之實施作業範圍,並通過
國際驗證後,仍可能發生重大資安事件,或有危害國安、資安等情事,為督促經
營者再行檢視其系統資通安全漏洞並擴大應通過資通安全國際驗證之實施作業範
圍,有效降低資安風險,爰增訂第四項規定。
三、原條文第四項移列為第五項。
四、原條文第五項移列為第六項。
五、原條文第六項移列為第七項。
- 民國 104 年 11 月 13 日
-
一、本條新增。
二、為強化固定通信業務經營者之資通安全防護能量,爰參照第二類電信事業管理規
則第三十一條之一規定增訂本條;另審酌第一類電信事業之設備規模通常比第二
類電信事業龐大,參與資安驗證之範圍較大,所需時間亦明顯較久,爰酌為延長
通過 ISO 驗證之規定期限為二年。
三、為規範所有經營者,包括在本規則中華民國一百零四年十一月十三日修正之條文
施行前已取得特許執照之既有經營者,均需於一定期間通過資通安全管理第三方
驗證,爰增訂第一項及第二項。
四、為使資通安全管理驗證之範圍可完整包括經營者所經營業務所涉資安各相關層面
,以及確保資通安全偵測防護設施已能達到資通安全要求,爰於第三項明定資通
安全管理驗證之實施作業範圍與偵測防護設施,應先報請主管機關核准。
五、為因應資通安全風險發生預期以外突然升高之情形,爰於第四項明定國家安全或
資通安全有關機關知會主管機關得通知經營者縮減通過 ISO/IEC 27001 國際標
準及電信事業資通安全管理手冊 ISO/IEC 27011 增項稽核表之資通安全管理驗
證期程。
六、為預防資安事件發生,爰於第五項明定經營者應從駭客的角度思考,對企業進行
各種入侵攻擊測試,以定期進行滲透測試,及檢測既有資通系統的漏洞,辦理弱
點掃描及修補作業,並依主管機關公告之資通安全應變作業程序,辦理聯防應變
措施。
七、第六項明定經營者資通安全管理之一般規定及資安事件紀錄保存期限。