中華民國
一百零一年
三月
二十日
通傳技字第10143008260號函
電信事業資通安全管理作業要點
一、國家通訊傳播委員會(以下簡稱本會)為辦理電信事業資訊通訊安全(以下簡稱資通安全)管理作業,依本會組織法第三條第八款之規定,特訂定本要點。
二、為執行電信事業資通安全管理作業,應製作電信事業資通安全管理手冊(以下簡稱本手冊)。
本手冊應符合保障通信安全及維護使用者權益之原則。其內容應包含下列各款事項:
(一)資通安全管理標準。
(二)資通安全等級評估。
(三)資通安全管理機制。
(四)資通安全教育訓練。
(五)資通安全應變通報。
(六)資通安全實施評鑑。
本手冊之研訂,應邀集相關業者、專家或機構共同討論,並視實施情況檢討修正。
本手冊訂定或修正完成,應循文書作業程序簽核並於本會網站公告。
三、為確保電信事業資料、系統及設備正常運作,本會應依本手冊所定事項,定期蒐集電信事業資通安全相關資訊,並適時給予電信事業協助、建議或採行其他合宜之輔導措施。
四、電信事業應依本手冊內容,訂定「資通安全管理實施計畫」,其範本由本會提供。
五、本會執行電信事業資通安全管理,認有必要時,得向電信事業索取文書、資料或物品,並得通知其到場陳述意見或到場實施勘驗。
依前項規定實施勘驗時,應先以書面或其他適當方式,通知勘驗場所之使用者或可為代表之人在場。實施勘驗時,應作成紀錄,記載實施時間、處所及其他必要事項,並由在場之人簽名、蓋章或按指印。
依第一項規定取得文書、資料或物品,如文書、資料或物品之提供者表明文書、資料或物品於調查程序完成應返還,應注意不得損及完整性;無需返還者,應妥善保存或為其他適切之處理。
依第一項規定到場實施勘驗時,應維持勘驗物品及場所之完整。
六、電信事業申請在大陸地區投資電信業務前,應將其資通安全管理之實施作業範圍報經本會核准後,向本會認可之資通安全管理機制驗證機構,就核准之作業範圍申請驗證,並取得符合ISO/IEC 27001標準及本手冊之ISO/IEC 27011增項稽核表驗證合格證明。
電信事業依固定通信業務管理規則第七十條第一項第二款或第七十二條之一,建置兩岸直接海纜通信網路者,應於申請通信網路技術審驗前,向本會認可之資通安全管理機制驗證機構,就核准之作業範圍申請驗證,並取得符合ISO/IEC 27001標準及本手冊之ISO/IEC 27011增項稽核表驗證合格證明。
七、本會應於網站公告業經本會認可之資通安全管理機制驗證機構名單。
八、本會應於網站公布業經資通安全管理機制驗證合格之電信事業名單。