政府机关构资通安全责任等级分级作业规定.docVIP

PAGE  第 PAGE 8頁，共 NUMPAGES 8頁 政府機關（構）資通安全責任等級分級作業規定 目的 為明確規範政府機關（構）資通安全責任等級分級作業流程，透過資通安全（以下簡稱資安）管理，以防範潛在資安威脅，進而提升國家資安防護水準，特訂定「政府機關（構）資通安全責任等級分級作業規定」（以下簡稱本規定）。 適用對象 中央及地方政府機關（含行政法人）。 國（公）營事業、醫療及學術機構。 由政府委託民間興建營運後轉移（Build-Operate-Transfer, BOT）之關鍵資訊基礎設施(Critical Information Infrastructure，CII)之營運單位。關鍵資訊基礎設施，指涉及核心業務運作，為支持關鍵基礎設施持續營運所需之重要資訊系統或調度、控制系統(Supervisory Control and Data Acquisition, SCADA)，亦屬關鍵基礎設施之重要元件，應配合對應之關鍵基礎設施統一納管。 分級原則 政府機關層級。 涉及外交、國防、國土安全、財政、經濟、警政等重要業務。 涉及能源、水資源、通訊傳播、交通、金融、緊急救援與醫院、高科技園區等關鍵資訊基礎設施業務或營運。 涉及全國、區域性或地區性個人資料檔案。 具體作法 政府機關（構）資安責任等級 政府機關 A級 總統府、國家安全會議、立法院、司法院、考試院、監察院、行政院及直轄市政府。 立法院、司法院、考試院、監察院及行政院等所屬二級機關、相當二級機關之獨立機關（以下合稱二級機關）。但其業務或組織單純者，得報經其上級機關核准，調整為B級或C級。 凡涉及外交、國防、國土安全，及掌理全國財政、經濟、警政等重要業務之機關，如外交部領事事務局、內政部警政署刑事警察局等。 負責能源、水資源、通訊傳播、交通、金融、緊急救援、高科技園區等關鍵資訊基礎設施之營運機關，如交通部民用航空局飛航服務總臺等。 保有全國性個人資料檔案之機關，如勞動部勞工保險局、衛生福利部中央健康保險署等。 B級 縣（市）政府。 凡涉及社會秩序及人民財產業務之機關，如地方政府警察局、地方政府地政事務所等。 保有區域性或地區性個人資料檔案之機關，如財政部各地區國稅局、地方政府戶政事務所等。 C級 其他政府機關及地方政府民意機關。 學術機構 A級 凡涉及各相關機關委託研究具國家安全機密性或敏感性之學校。 B級 各大學。 臺灣學術網路各區域網路中心暨各直轄市、縣（市）教育網路中心。 C級 各學院、專科學校及高級中等以下學校。 教育部所屬研究機構。 國（公）營事業、醫療機構及其他 A級 國（公）營事業與特許機構，處理涉及能源、水資源、通訊傳播、交通、金融等關鍵資訊基礎設施業務者，如台灣電力公司、臺灣港務股份有限公司、臺灣證券交易所等。 由政府委託民間興建營運後轉移之關鍵資訊基礎設施之營運單位，如遠通電收股份有限公司、台灣高速鐵路股份有限公司、高雄捷運股份有限公司等。 醫學中心，如國立臺灣大學醫學院附設醫院、臺北榮民總醫院等。 保有全國性個人資料檔案之機構，如中華郵政股份有限公司等。 B級 國（公）營事業涉及全國或地方民生資源等業務，如台灣糖業股份有限公司等。 區域醫院，如臺北市立聯合醫院、衛生福利部桃園醫院、國立臺灣大學醫學院附設醫院雲林分院等。 保有區域性或地區性個人資料檔案之機構。 C級 其他國（公）營事業機構，如金門酒廠實業股份有限公司、福建省連江縣馬祖日報社等。 地區醫院，如臺北市立關渡醫院、國立成功大學醫學院附設醫院斗六分院、臺北榮民總醫院新竹分院等。 政府機關（構）符合前點所述一個以上之等級者，適用最高等級。 行政院所屬二級機關、各直轄市及縣（市）政府，應檢視其所屬機關（構）（含行政法人）資安責任等級之分級及其妥適性，並彙送行政院資通安全辦公室，經該辦公室複核後，提請行政院國家資通安全會報核定資安責任等級，其修正亦同。 總統府、國家安全會議、立法院、司法院、考試院、監察院所屬機關（構）之資安責任等級，比照前點規定辦理，並送請行政院國家資通安全會報備查。 原為國（公）營已民營化之事業、公辦民營事業、民營公用事業及政府捐助成立之財團法人，得由其主管（監督）機關參照本規定，自行訂定資安責任等級，並依其訂定之應辦事項監督管理。 政府機關（構）除遵循行政院及所屬各機關資安管理規範外，依其資安等級，應辦理之工作事項如附表。 附表 作業 名稱 等級資訊系統分類分級ISMS推動作業資安專責人力稽核方式業務持續運作演練防護縱深監控管理安全性檢測資安教育訓練(一般主管、資訊人員/資安人員、一般使用者 專業證照A級1.完成資訊系統分級(104年底前) 2.完成資訊系統資安防護基準要求(105年底前)1.全部核心資訊系統完成ISMS導入(