- 民國 106 年 05 月 22 日
-
一、本條新增。
二、為強化經營者之資通安全防護能量,爰參照第二類電信事業管理規則第三十一條
之一規定增訂本條;另經查經濟部標準檢驗局一百零三年四月二十四日公告 CNS
27001 「資訊技術- 安全技術- 資訊安全管理系統-要求事項」國家標準,CNS
27001 係參考二零一三年最新版 ISO/IEC 27001 國際標準修訂,爰納入適用之
驗證標準。另審酌第一類電信事業之設備規模通常比第二類電信事業龐大,參與
資安驗證之範圍較大,所需時間亦明顯較久,爰酌為延長通過驗證之規定期限為
二年。
三、為規範所有經營者,包括在本規則一百零六年五月二十二日修正之條文施行前已
取得特許執照之既有經營者,均需於一定期間通過資通安全管理第三方驗證,爰
訂定第一項及第二項。
四、為使資通安全管理驗證之範圍可完整包括經營者所經營業務所涉資安各相關層面
,以及確保資通安全偵測防護設施已能達到資通安全要求;爰於第三項明定資通
安全管理驗證之實施作業範圍與偵測防護設施,應報請主管機關核准。
五、審酌經營者經主管機關核准其應通過資通安全國際驗證之實施作業範圍,並通過
國際驗證後,仍可能發生重大資安事件,或有危害國安、資安等情事,為督促經
營者再行檢視其系統資通安全漏洞並修正應通過資通安全國際驗證之實施作業範
圍,有效降低資安風險,爰於第四項予以明定。
六、為因應資通安全風險發生預期以外突然升高之情形,爰於第五項明定國家安全或
資通安全有關機關知會主管機關得通知經營者縮減通過 CNS 27001 或 ISO/IEC
27001 國際標準及電信事業資通安全管理手冊 ISO/IEC 27011 增項稽核表之資
通安全管理驗證期程。
七、為預防資安事件發生,爰於第六項明定經營者應從駭客的角度思考,對企業進行
各種入侵攻擊測試,以定期進行滲透測試,及檢測既有資通系統的漏洞,辦理弱
點掃描及修補作業,並依主管機關公告之資通安全應變作業程序,辦理聯防應變
措施。
八、第七項明定經營者資通安全管理之一般規定及資安事件紀錄保存期限。