跳至主要內容
:::

法條

法規名稱: 特定非公務機關資通安全維護計畫實施情形稽核辦法 EN
主管機關辦理第三條第一項之稽核,得要求受稽核機關為資通安全維護計畫實施情形之說明、協力或提出相關之文件、證明資料供現場查閱,並執行下列事項,受稽核機關及其所屬人員應予配合:
一、稽核前訪談。
二、現場實地稽核。
受稽核機關依法律有正當理由,未能為前項說明、協力或提出資料供現場查閱者,應以書面敘明理由,向主管機關提出。
主管機關收受前項書面後,應進行審核,依下列規定辦理,並得停止稽核作業之全部或一部:
一、認有理由者,應將審核之依據及相關資訊記載於稽核結果報告。
二、認無理由者,應要求受稽核機關依第一項規定辦理;已停止稽核作業者,得擇期續行辦理,並於十日前以書面通知受稽核機關。
主管機關除因不可抗力因素外,應每年擇定受稽核之特定非公務機關(以下簡稱受稽核機關),並以現場實地稽核之方式,稽核其資通安全維護計畫實施情形。
主管機關擇定前項受稽核機關時,應綜合考量其業務之重要性與機敏性、資通系統之規模與性質、資通安全事件發生之頻率與程度、資通安全演練之成果、歷年受主管機關或中央目的事業主管機關稽核之頻率與結果或其他與資通安全相關之因素。
主管機關為辦理第一項稽核,應訂定稽核計畫,其內容包括稽核之依據與目的、期間、重點領域、稽核小組組成方式、保密義務、稽核方式、基準與項目及中央目的事業主管機關協助事項。
主管機關決定前項稽核之重點領域與基準及項目時,應綜合考量我國資通安全政策、國內外資通安全趨勢、過往稽核計畫之內容與稽核結果,及其他與稽核資源之適當分配或稽核成效相關之因素。