本辦法依電信管理法第四十二條第一項及第五項規定訂定之。
廣播、電視事業設置之電臺,適用本辦法之規定。
設置公眾電信網路者(以下簡稱設置者)應於主管機關通知之日起三個月內,依主管機關公告之關鍵電信基礎設施調查表(以下簡稱調查表)盤點及自評其公眾電信網路之各項電信基礎設施後,提報主管機關。
前項設置者檢具之調查表應載明之項目不完備者,應於主管機關通知之期限內補正。
主管機關依前條調查表審查後,得分別指定公眾電信網路之全部或一部為一級、二級或三級關鍵電信基礎設施。
前項審查之指定基準由主管機關公告之。
關鍵電信基礎設施之設置者(以下簡稱關鍵設施設置者)應於主管機關指定關鍵電信基礎設施及其級別後三個月內,依關鍵電信基礎設施安全防護計畫範本所定格式與項目,訂定其關鍵電信基礎設施防護計畫,報請主管機關評定。
關鍵設施設置者提報之關鍵電信基礎設施防護計畫應載明事項不完備者,應於主管機關通知之期限內完成補正。
關鍵設施設置者應依主管機關評定之關鍵電信基礎設施防護計畫實施;其關鍵電信基礎設施防護計畫有變更時,應報請主管機關重新評定。
主管機關評定關鍵電信基礎設施防護計畫之基準項目如下:一、目標與防護組織:應含計畫依據、設施等級、設施基本資料、設施安全防護目標、設施防護管理團隊、設施重要性等內容。
二、資通訊系統盤點:應含設施、系統、網路、外部關鍵資源及內部必要資產等內容。
三、風險評估:應含威脅辨識、衝擊評估、關鍵資源中斷影響等內容。
四、防護範圍:應含減災策略與決定優先防護強化項目次序等內容。
五、控制措施與執行:應含依預防、減災、應變、復原等四個階段之各項災害威脅(天然、人為、資安)之通報應變計畫及內部必要資產、外部關鍵資源的防護管理項目與執行重點等內容。
六、衡量實施成效:應含衡量各類計畫與標準操作程序(SOP)實施成效的演練計畫、工作項目、衡量頻率與依據、檢討與改善項目、改善進度掌握與追蹤等內容。
主管機關得指定該關鍵設施設置者依其經評定之防護計畫辦理演練,並就演練情形予以評核。
前項評核結果有待改善事項者,關鍵設施設置者應依主管機關之通知限期改善。
關鍵設施設置者應依調查表定期盤點及自評其公眾電信網路之各項電信基礎設施;其盤點及自評結果有異動者,應將調查表提報主管機關備查。
必要時,主管機關得依該調查表及指定基準重新核定該關鍵基礎設施之級別。
本辦法所定之相關書表,除本辦法另有規定外,由主管機關另行訂定公告之。