跳至主要內容
:::

編章節條文

第 三 章之一 資通安全管理
經營者應於取得特許執照之日起一年內建立資通安全防護與偵測設施,並於二年內通過下列資通安全管理驗證:
一、CNS 27001 國家標準或 ISO/IEC 27001 國際標準。
二、主管機關公告之電信事業資通安全管理手冊 ISO/IEC 27011 增項稽核表。
本規則中華民國一百零六年五月二十二日修正之條文施行前,已取得特許執照之經營者,應自修正施行之日起一年內建立資通安全防護與偵測設施,並於二年內通過前項資通安全管理驗證。
前二項驗證之實施作業範圍與資通安全偵測防護設施,應先報請主管機關核准。
經營者有下列情形之一,應依主管機關通知,修正第一項及第二項驗證之實施作業範圍,報請主管機關核准後實施,並於主管機關指定期限內通過資通安全管理驗證:
一、系統發生資通安全事件達國家資通安全通報應變作業綱要規定之影響等級第三級以上者。
二、有危害國家安全或資通安全之虞,經有關機關通知者。
第一項及第二項期間,經國家安全或資通安全有關機關通知,主管機關得命經營者縮減之。
經營者應定期進行滲透測試、弱點掃描及修補作業,且應依主管機關公告之資通安全應變作業程序,建立資通安全事件之通報、處理、回報等聯防應變措施。
資通安全事件發生後,經營者應依主管機關通報之資安事件,辦理緊急應變措施並保存紀錄,回報主管機關備查,該紀錄應至少保存六個月。
經營者設置電信設備機房或網路資料中心機房,均應以實體隔離方式設置,並具備獨立出入口。
前項出入口應設置全天候入侵告警與錄影監控之門禁安全管理系統,告警與錄影紀錄至少應保存六個月。
第一項電信設備機房或網路資料中心機房,除設置、維護、監督或其他營運必要之目的外,禁止任何人進入機房。
經營者應按其設置之電信設備機房或網路資料中心機房,分別訂定機房安全管理作業規定,並報主管機關備查。
前項電信設備機房或網路資料中心機房之安全管理作業規定至少包含下列項目:
一、權責劃分:包含安全維護區、負責單位、員工編制及職掌、員工進出機房權限等。
二、門禁管理:包含進出機房之員工、協力廠商、參訪人員或網路資料中心之客戶等人員之姓名、身分證統一編號或護照號碼等身分識別、所屬機關(構)、進出時間、進入目的、複查人員之複查紀錄及物品進出機房等管理。
三、維運管理:包含員工維運或協力廠商維護機房設備等管理。
四、環境管理:包含消防、保全、電力及相關設施管理。
五、管理紀錄:包含門禁管理、維運管理及環境管理等紀錄。
六、查核作業:包含定期與不定期查核作業。
前項第五款管理紀錄應至少保存六個月。
第四項機房安全管理作業規定,主管機關得視經營者實施狀況要求經營者變更之。
經營者應落實執行第四項機房安全管理作業規定,主管機關得定期或視需要派員查核之。
經營者設置網路資料中心機房提供其他電信事業置放電信設備提供電信服務時,其出租予其他電信事業之空間,應以實體隔離方式設置,並具備獨立出入口。
經營者設置網路資料中心機房已出租予其他電信事業置放電信設備不符前項規定者,應於本規則中華民國一百零六年五月二十二日修正之條文施行之日起一年內改正。無法於期限內改正者,得於期限屆滿前敘明理由向主管機關申請展期;展期最長不得逾六個月,並以一次為限。
具危害國家安全疑慮之人員,經國家安全或資通安全有關機關知會主管機關,經營者應依主管機關通知,禁止該人員進入電信設備機房或網路資料中心機房。
經營者委託他人設計涉及網路系統資源、用戶個人資料及通信內容相關之資通系統軟體或維運系統者,應先報請主管機關備查。維運作業時應由電信設備機房員工全程監控,並將系統連線之操作指令完整記錄之,該紀錄檔應至少保存六個月。
經營者不得委託具危害國家安全疑慮之人員進行涉及網路系統資源、用戶個人資料及通信內容相關之資通系統軟體設計、遠端系統連線維運及測試作業。