跳至主要內容
:::

條文內容

法規名稱: 行動寬頻業務管理規則
修正日期: 民國 108 年 09 月 03 日
相關圖表:
第 83-1 條
經營者應於取得特許執照之日起一年內建立資通安全防護與偵測設施,並
於二年內通過下列資通安全管理驗證:
一、CNS 27001 國家標準或 ISO/IEC 27001 國際標準。
二、主管機關公告之電信事業資通安全管理手冊 ISO/IEC 27011 增項稽
    核表。
本規則中華民國一百零六年五月二十二日修正之條文施行前,已取得特許
執照之經營者,應自修正施行之日起一年內建立資通安全防護與偵測設施
,並於二年內通過前項資通安全管理驗證。
前二項驗證之實施作業範圍與資通安全偵測防護設施,應報請主管機關核
准。
經營者有下列情形之一,應依主管機關通知,修正第一項及第二項驗證之
實施作業範圍,報請主管機關核准,並於主管機關指定期限內通過資通安
全管理驗證:
一、系統發生資通安全事件達國家資通安全通報應變作業綱要規定之影響
    等級第三級以上者。
二、有危害國家安全或資通安全之虞,經有關機關通知者。
第一項及第二項期間,經國家安全或資通安全有關機關通知,主管機關得
命經營者縮減之。
經營者應定期進行滲透測試、弱點掃描及修補作業,且應依主管機關公告
之資通安全應變作業程序,建立資通安全事件之通報、處理、回報等聯防
應變措施。
資通安全事件發生後,經營者應依主管機關通報之資安事件,辦理緊急應
變措施並保存紀錄,回報主管機關備查,該紀錄應至少保存六個月。
顯示立法理由
民國 106 年 05 月 22 日
一、本條新增。 
二、為強化經營者之資通安全防護能量,爰參照第二類電信事業管理規則第三十一條
    之一規定增訂本條;另經查經濟部標準檢驗局一百零三年四月二十四日公告 CNS
    27001 「資訊技術- 安全技術- 資訊安全管理系統-要求事項」國家標準,CNS
    27001 係參考二零一三年最新版 ISO/IEC 27001  國際標準修訂,爰納入適用之
    驗證標準。另審酌第一類電信事業之設備規模通常比第二類電信事業龐大,參與
    資安驗證之範圍較大,所需時間亦明顯較久,爰酌為延長通過驗證之規定期限為
    二年。
三、為規範所有經營者,包括在本規則一百零六年五月二十二日修正之條文施行前已
    取得特許執照之既有經營者,均需於一定期間通過資通安全管理第三方驗證,爰
    訂定第一項及第二項。
四、為使資通安全管理驗證之範圍可完整包括經營者所經營業務所涉資安各相關層面
    ,以及確保資通安全偵測防護設施已能達到資通安全要求;爰於第三項明定資通
    安全管理驗證之實施作業範圍與偵測防護設施,應報請主管機關核准。
五、審酌經營者經主管機關核准其應通過資通安全國際驗證之實施作業範圍,並通過
    國際驗證後,仍可能發生重大資安事件,或有危害國安、資安等情事,為督促經
    營者再行檢視其系統資通安全漏洞並修正應通過資通安全國際驗證之實施作業範
    圍,有效降低資安風險,爰於第四項予以明定。
六、為因應資通安全風險發生預期以外突然升高之情形,爰於第五項明定國家安全或
    資通安全有關機關知會主管機關得通知經營者縮減通過 CNS 27001  或 ISO/IEC
    27001 國際標準及電信事業資通安全管理手冊 ISO/IEC 27011  增項稽核表之資
    通安全管理驗證期程。
七、為預防資安事件發生,爰於第六項明定經營者應從駭客的角度思考,對企業進行
    各種入侵攻擊測試,以定期進行滲透測試,及檢測既有資通系統的漏洞,辦理弱
    點掃描及修補作業,並依主管機關公告之資通安全應變作業程序,辦理聯防應變
    措施。
八、第七項明定經營者資通安全管理之一般規定及資安事件紀錄保存期限。