您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態

全國法規資料庫

列印時間:113/12/13 11:58
:::

條文檢索結果

法規名稱: 關鍵電信基礎設施資通設備測試機構及驗證機構管理辦法 EN
法規類別: 行政 > 數位發展部 > 韌性建設目
附檔:
※歷史法規係提供九十年四月以後法規修正之歷次完整舊條文。
※如已配合行政院組織改造,公告變更管轄或停止辦理業務之法規條文,請詳見沿革
測試機構應經財團法人全國認證基金會(以下簡稱認證組織)認證,具備執行主管機關公告之資通設備相關技術規範所列測試內容之能力。
測試機構應符合下列條件:
一、依法設立之本國法人、機構。
二、符合CNS 17025或ISO/IEC 17025標準。
三、未從事擬申請測試項目之資通設備輸入、設計、製造或販賣相關業務。
四、須設置三名以上之專業且專職之人員,包含測試主管一名及測試工程師二名。
前項第四款之人員,應符合下列條件:
一、測試主管:
(一)為國內公立或立案之私立大專以上學校或經教育部承認之國外大專以上學校之資訊工程、資訊管理或相關科系畢業。
(二)具資通安全相關管理或測試評估實務工作經驗達五年以上,且瞭解相關法令與技術規範。
(三)取得CNS 17025或ISO/IEC 17025訓練合格證書。
二、測試工程師:
(一)為國內公立或立案之私立大專以上學校或經教育部承認之國外大專以上學校之資訊工程、資訊管理或相關科系畢業。
(二)具資通安全相關測試評估實務工作經驗達二年以上。
(三)具備ISO/IEC 15408測試評估專業訓練時數至少四十小時以上之證明。
(四)取得道德駭客認證(Certified Ethical Hacker,CEH)或國際網路資安認證(CompTIA Security+)有效之資訊安全相關專業證照。
(五)具備下列有效之資訊安全相關專業證照之一:
1.資訊系統安全專家證照((ISC)2 Certified Information Systems Security Professional,CISSP)。
2.資安分析專家證照(EC-Council Certified Security Analyst,ECSA)。
3.資安鑑識調查專家證照(EC-Council Computer Hacking Forensic Investigator,CHFI)。
4.滲透測試專家證照(GIAC Penetration Tester,GPEN)。
5.資安專業人員證照((ISC)2 Systems Security Certified Practitioner,SSCP)。
6.滲透測試技術證照(Offensive Security Certified Professional,OSCP)。
認證組織認證測試機構符合前三項規定後,應檢具測試機構認證證書,報請主管機關備查。
測試機構為執行主管機關公告之資通設備相關技術規範,應設置必要之測試設備以辦理測試作業。
主管機關得向測試機構調閱及查核相關文件,並得派員至測試機構實地查證,測試機構無正當理由不得規避、妨礙或拒絕。
測試機構有下列情形之一者,主管機關得令其限期改善並暫停辦理測試作業,經主管機關確認改善完成,始得辦理測試作業:
一、不符合第三條第二項各款條件。
二、未依主管機關公告之資通設備相關技術規範辦理測試作業。
三、拒不提供相關文件或無正當理由拒絕主管機關派員實地查證。
四、經主管機關或認證組織認定違反CNS17025 或ISO/IEC 17025 標準。
前項測試機構暫停辦理測試作業之期間至少三個月,主管機關並得視情節輕重予以延長至一年。
驗證機構對於申請資通設備審驗案件(以下簡稱審驗案件),無正當理由,不得拒絕或為差別待遇。
驗證機構及其驗證人員不得從事輔導廠商或改變資通設備功能之相關工作。
驗證機構辦理審驗案件時,應以驗證機構之名義為之。
前項審驗案件之測試報告應由經認證組織認證之測試機構出具。
驗證機構有下列情形之一者,主管機關得終止委託審驗契約,並令其繳回認證證書及註銷其認證證書:
一、不符合第五條第一項各款條件。
二、違反第九條第二項、第十條、第十一條或第十六條規定。
三、逾越委託審驗契約授權範圍或怠於辦理審驗案件工作。
四、無正當理由拒絕主管機關不定期查核。
五、違反本法、行政程序法、關鍵電信基礎設施資通設備資通安全檢測技術規範或本辦法等法令規定。
六、受理申請審驗案件,有無正當理由之拒絕或差別待遇之情事。
七、核發之審驗證明有虛偽不實之情事者。
前項第一款至第四款情形,主管機關得令驗證機構限期改善,屆期未改善者,依前項規定辦理。
資料來源:全國法規資料庫