跳至主要內容
:::

法條

法規名稱: 關鍵電信基礎設施資通設備測試機構及驗證機構管理辦法 EN
驗證機構申請增列資通設備之驗證項目者,應依第六條規定申請,並辦理認證證書之換發;換發之認證證書有效期間與原認證證書同。
主管機關受理前項申請得依第七條規定辦理實地評鑑。
認證證書記載事項異動時,除第一項增列驗證項目外,應自異動發生日起十五日內,檢附認證證書向主管機關申請換發。經換發之認證證書,其有效期間與原認證證書同。
驗證機構有驗證人員出缺、增加之異動,應於異動發生之日起十五日內,檢附異動人員資料報請主管機關備查。
驗證人員出缺未補實致不符合第五條第一項第四款規定時,主管機關得令該驗證機構暫停辦理有關之審驗工作;驗證機構應於驗證人員補實後,檢附驗證人員基本資料,報請主管機關准予恢復辦理審驗工作。
申請擔任驗證機構者(以下簡稱申請人),應符合下列條件:
一、依法設立之本國法人、機構。
二、未從事擬申請驗證項目之資通設備輸入、設計、製造或販賣相關業務。
三、符合CNS 17065或ISO/IEC 17065標準。
四、須設置二名以上專職之驗證人員。
前項第四款之驗證人員,應符合下列條件:
一、為國內公立或立案之私立大專以上學校或經教育部承認之國外大專以上學校之資訊工程、資訊管理或相關科系畢業。
二、具資通安全相關管理或測試評估實務工作經驗達五年以上,且瞭解相關法令與技術規範。
三、取得CNS 17065或ISO/IEC 17065訓練合格證書。
四、具備下列有效之資訊安全相關專業證照之一:
(一)資訊系統安全專家證照((ISC)2 Certified Information Systems Security Professional,CISSP)。
(二)資安分析專家證照(EC-Council Certified Security Analyst,ECSA)。
(三)資安鑑識調查專家證照(EC-Council Computer Hacking Forensic Investigator,CHFI)。
(四)滲透測試專家證照(GIAC Penetration Tester,GPEN)。
(五)資安專業人員證照((ISC)2 Systems Security Certified Practitioner,SSCP)。
(六)滲透測試技術證照(Offensive Security Certified Professional,OSCP)。
五、不得兼任第三條第二項第四款之人員。
申請人應檢具下列文件,向主管機關提出申請:
一、資通設備驗證機構申請書(如附件一)。
二、設立證明文件影本。
三、申請人取得之CNS 17065或ISO/IEC 17065證書影本。
四、驗證人員符合前條第二項資格之基本資料。
五、驗證部門組織架構圖與功能說明表。
六、驗證部門品質手冊。
七、驗證部門品質文件一覽表。
八、擬申請驗證之資通設備審驗作業程序。
九、其他經主管機關指定之資料。
前項申請文件有不全或記載不完備者,經主管機關通知限期補正,屆期未補正或補正不完備者,駁回其申請。
前項補正期間最長不得逾一個月。
申請人依前條規定檢附之文件,經主管機關審查合格者,由主管機關進行實地評鑑。
主管機關應依下列各款規定辦理實地評鑑,並提出評鑑報告:
一、CNS 17065或ISO/IEC 17065標準。
二、主管機關公告之資通設備相關技術規範或國家標準之規定。
三、其他經主管機關指定與實地評鑑相關之事項。
經實地評鑑有不符合前項各款規定者,主管機關應列舉不符合事項,並通知其限期改善。申請人應於通知期限內完成改善,並提出改善報告,屆期未完成者,駁回其申請。
前項改善期間最長不得逾三個月。