跳至主要內容
:::

法條

法規名稱: 關鍵電信基礎設施資通設備測試機構及驗證機構管理辦法 EN
驗證機構有下列情形之一者,主管機關得終止委託審驗契約,並令其繳回認證證書及註銷其認證證書:
一、不符合第五條第一項各款條件。
二、違反第九條第二項、第十條、第十一條或第十六條規定。
三、逾越委託審驗契約授權範圍或怠於辦理審驗案件工作。
四、無正當理由拒絕主管機關不定期查核。
五、違反本法、行政程序法、關鍵電信基礎設施資通設備資通安全檢測技術規範或本辦法等法令規定。
六、受理申請審驗案件,有無正當理由之拒絕或差別待遇之情事。
七、核發之審驗證明有虛偽不實之情事者。
前項第一款至第四款情形,主管機關得令驗證機構限期改善,屆期未改善者,依前項規定辦理。
申請擔任驗證機構者(以下簡稱申請人),應符合下列條件:
一、依法設立之本國法人、機構。
二、未從事擬申請驗證項目之資通設備輸入、設計、製造或販賣相關業務。
三、符合CNS 17065或ISO/IEC 17065標準。
四、須設置二名以上專職之驗證人員。
前項第四款之驗證人員,應符合下列條件:
一、為國內公立或立案之私立大專以上學校或經教育部承認之國外大專以上學校之資訊工程、資訊管理或相關科系畢業。
二、具資通安全相關管理或測試評估實務工作經驗達五年以上,且瞭解相關法令與技術規範。
三、取得CNS 17065或ISO/IEC 17065訓練合格證書。
四、具備下列有效之資訊安全相關專業證照之一:
(一)資訊系統安全專家證照((ISC)2 Certified Information Systems Security Professional,CISSP)。
(二)資安分析專家證照(EC-Council Certified Security Analyst,ECSA)。
(三)資安鑑識調查專家證照(EC-Council Computer Hacking Forensic Investigator,CHFI)。
(四)滲透測試專家證照(GIAC Penetration Tester,GPEN)。
(五)資安專業人員證照((ISC)2 Systems Security Certified Practitioner,SSCP)。
(六)滲透測試技術證照(Offensive Security Certified Professional,OSCP)。
五、不得兼任第三條第二項第四款之人員。
驗證機構對於申請資通設備審驗案件(以下簡稱審驗案件),無正當理由,不得拒絕或為差別待遇。
驗證機構及其驗證人員不得從事輔導廠商或改變資通設備功能之相關工作。
驗證機構辦理審驗案件時,應以驗證機構之名義為之。
前項審驗案件之測試報告應由經認證組織認證之測試機構出具。
驗證機構應依關鍵電信基礎設施資通設備資通安全檢測技術規範等規定,辦理資通設備審驗證明(以下簡稱審驗證明)之核發、補發、換發、撤銷或廢止、審驗申請之駁回或同意經審驗合格之資通設備其外觀變更等事項。
驗證機構受理審驗案件之完整資料,應自完成之日起十日內,依主管機關指定方式報請備查。
主管機關於必要時,得指示驗證機構抽驗關鍵電信基礎設施設置者之資通設備。抽驗之每一案件應於抽驗之日起二個月內將抽驗結果報請主管機關備查。
前項抽驗之資通設備由關鍵電信基礎設施設置者提供。
驗證機構申請增列資通設備之驗證項目者,應依第六條規定申請,並辦理認證證書之換發;換發之認證證書有效期間與原認證證書同。
主管機關受理前項申請得依第七條規定辦理實地評鑑。
認證證書記載事項異動時,除第一項增列驗證項目外,應自異動發生日起十五日內,檢附認證證書向主管機關申請換發。經換發之認證證書,其有效期間與原認證證書同。
驗證機構有驗證人員出缺、增加之異動,應於異動發生之日起十五日內,檢附異動人員資料報請主管機關備查。
驗證人員出缺未補實致不符合第五條第一項第四款規定時,主管機關得令該驗證機構暫停辦理有關之審驗工作;驗證機構應於驗證人員補實後,檢附驗證人員基本資料,報請主管機關准予恢復辦理審驗工作。
驗證機構應於取得第八條認證證書之日起一年內建置網路申辦系統,受理資通設備審驗之申請。