第 1 條
|
本辦法依電信法 (以下簡稱本法) 第二十條之一規定訂定之。
|
第 2 條
|
本辦法用詞定義如下:
網際網路位址 (Internet Protocol Address) :
指為供辨識網際網路主機號碼位置所在,依網際網路協定 TCP/IP (Transmission Control Protocol/Internet Protocol) 所規劃用以分配予主機之位址。
網域名稱 (Domain Name) :
指用以與網際網路位址相對映,便於網際網路使用者記憶 TCP/IP 主機所在位址之文字或數字組合。
網域名稱系統 (Domain Name System,簡稱 DNS) :
指採樹狀階層式架構,自上而下授權管理,能夠作網域名稱與網際網路位址及其他資料對映及轉換之系統。
網際網路位址註冊管理業務:
指具有管理國家級網際網路位址註冊機構 (National Internet Regis-try ,簡稱 NIR) 之網際網路位址註冊資料,並提供網際網路位址反解系統 (Reverse Domain Name System)正常運作及相關註冊管理之服務事項。
網域名稱註冊管理業務:
指具有管理 .tw 頂級網域名稱 (TopLevel Domain,簡稱 TLD) 或其他用以表徵我國之網域名稱註冊資料,並提供網域名稱系統正常運作及相關註冊管理之服務事項。
註冊管理機構 (Registry) :
指從事網際網路位址或網域名稱註冊管理業務之非營利法人組織。
受理註冊機構 (Registrar) :
指取得註冊管理機構之授權,從事受理註冊業務之法人組織。
註冊人 (Registrant) :
指與註冊管理機構訂定契約,使用該註冊管理機構指定之網際網路位址或網域名稱服務者。
|
第 3 條
|
監督與輔導從事網際網路位址及網域名稱註冊管理業務之主管機關為交通部電信總局 (以下簡稱電信總局) 。
|
第 4 條
|
未取得國際組織認可具有取得及分配網際網路位址之權利者,不得從事網際網路位址註冊管理業務;未取得國際組織認可具有其所申請註冊管理業務範圍之 .tw 頂級網域名稱或其他足以表徵我國網域名稱之權利者,不得從事網域名稱註冊管理業務。
前項之國際組織,由電信總局公告之。
|
第 5 條
|
註冊管理機構應於提供服務前一個月檢具業務計畫書及載明下列各款事項之文件,報請電信總局備查:
申請人之名稱、代表人之姓名及主事務所。
社團法人或財團法人之相關證照影本及代表人身分證明文件影本。
獲第四條國際組織認可之文件。
前項業務計畫書,應載明下列事項:
業務類別及說明。
系統及網路設備概況 (含各地點建設之系統及網路設備架構圖及其設備明細表) ,應載明下列系統之安全及備援措施:
註冊管理業務系統。
網域名稱系統或網際網路位址反解系統。
WHOIS 資料庫系統。
可提供全球網際網路互連運作之說明。
註冊管理機構未依第一項規定備齊報備資料者,電信總局得限期命其補正,逾期不補正者,不予備查。
第一項備查文件於備查後如有變更者,註冊管理機構應於變更後十五日內報請電信總局備查。
|
第 6 條
|
註冊管理機構從事網際網路位址或網域名稱之註冊管理業務,不得有下列行為:
違反法律或依法律授權之法規。
危害網際網路之互連或運作。
危害國家安全或妨害治安。
妨害公共秩序或善良風俗。
註冊管理機構從事網際網路位址或網域名稱之註冊管理業務未能確保通信秘密或提供公平服務者,電信總局得限期命其改善之。
|
第 7 條
|
註冊管理機構應就網際網路位址或網域名稱註冊管理業務,訂定業務規章。
並應於提供服務前十四日報請電信總局備查;變更時亦同。
業務規章應備置於網站及業務場所供消費者審閱;其有損害消費者權益或顯失公平之情事,電信總局得限期命註冊管理機構變更之。
第一項業務規章應訂定公平合理之服務條件,並載明下列事項:
提供服務內容。
各項服務收費標準。
註冊人基本資料利用之限制及條件。
消費者申訴之處理。
網域名稱爭議處理機制。
其他與消費者權益有關之事項。
|
第 8 條
|
註冊管理機構提供網際網路位址或網域名稱註冊管理業務之服務收費標準,應以維持收支平衡為原則。
註冊管理機構應邀請專家、學者等組成費率委員會決定服務費率,報請電信總局備查後實施。
|
第 9 條
|
註冊管理機構對於網際網路位址或網域名稱之註冊業務,得委託受理註冊機構執行。
註冊管理機構應於委託生效次日起十日內,將受理註冊機構名單公告並報請電信總局備查。
|
第 10 條
|
為處理第三人對網域名稱使用或歸屬之爭議,註冊管理機構應就網域名稱爭議事項,訂定網域名稱爭議處理程序,並應於實施前報請電信總局備查;變更時亦同。
前項網域名稱爭議處理程序,註冊管理機構應委由專業機構處理網域名稱爭議事項。
網域名稱爭議處理之決定,不影響註冊人或第三人之訴訟權利。
|
第 11 條
|
註冊管理機構為維持服務之持續性、註冊資料之正確性、完整性、穩定性及正常運作,應訂定作業規範,報請電信總局備查後實施。
註冊管理機構應將每季業務執行成果,報請電信總局備查。
電信總局得隨時派員持證明文件查核註冊管理機構所建置之相關設備及其業務運作相關文件,必要時得命其提供相關資料,註冊管理機構不得拒絕。
|
第 12 條
|
註冊管理機構預定終止其業務時,應於預定終止日六個月前報請電信總局備查,並應於預定終止日三個月前通知註冊人。
註冊管理機構終止其業務時,應保持註冊資料之正確及完整,並無償移轉相關註冊資料予新註冊管理機構,以維持服務提供之持續性;必要時,電信總局得為適當之處置。
|
第 13 條
|
政府屬性、教育屬性或國防屬性之屬性型網域名稱註冊管理,由註冊管理機構與相關政府機關協商處理,但不得有礙全球網際網路之互連運作。
註冊管理機構應於協商完成後十五日內將協商結果報請電信總局備查。
|
第 14 條
|
電信總局得輔導協助註冊管理機構從事下列事項:
網際網路位址或網域名稱相關政策、技術之研究。
網際網路位址或網域名稱運作安全與效能提升之促進。
網際網路位址或網域名稱相關技術之人才培訓。
網際網路位址或網域名稱相關技術發展及業務規劃與推廣。
網際網路位址及網域名稱相關國際會議及活動之規劃參與。
|
第 15 條
|
本辦法發布施行前,已從事網際網路位址或網域名稱註冊管理業務之註冊管理機構,應於本辦法發布施行日起二個月內依第五條規定檢具相關文件報請電信總局備查,並於三個月內將第七條所定業務規章及第十條所定網域名稱爭議處理程序報請電信總局備查。
|
第 16 條
|
違反本辦法規定者,依本法規定處罰。
|
第 17 條
|
本辦法自發布日施行。
|
壹、目 的 一、 行政院為推動各機關強化資訊安全管理,建立安全及可信賴之電子化政府,確保資料、系統、設備及網路安全,保障民眾權益,特訂定本要點。 貳、通 則 二、 本要點所稱各機關,指行政院所屬各部、會、行、處、局、署、院、台灣省政府、台灣省諮議會及其所屬機關(構)。 三、 各機關應依有關法令,考量施政目標,進行資訊安全風險評估,確定各項資訊作業安全需求水準,採行適當及充足之資訊安全措施,確保各機關資訊蒐集、處理、傳送、儲存及流通之安全。 四、 本要點所稱適當及充足之資訊安全措施,應綜合考量各項資訊資產之重要性及價值,以及因人為疏失、蓄意或自然災害等風險,致機關資訊資產遭不當使用、洩漏、竄改、破壞等情事,影響及危害機關業務之程度,採行與資訊資產價值相稱及具成本效益之管理、作業及技術等安全措施。 五、 各機關應就下列事項,訂定資訊安全計畫實施,並定期評估實施成效: (一) 資訊安全政策訂定。 (二) 資訊安全權責分工。 (三) 人員管理及資訊安全教育訓練。 (四) 電腦系統安全管理。 (五) 網路安全管理。 (六) 系統存取控制管理。 (七) 系統發展及維護安全管理。 (八) 資訊資產安全管理。 (九) 實體及環境安全管理。 (十) 業務永續運作計畫管理。 (十一) 其他資訊安全管理事項。 六、 本要點所稱資訊安全政策,指機關為達成資訊安全目標訂定之資訊安全管理作業規定、措施、標準、規範及行為準則等。 參、資訊安全政策擬訂 七、 各機關應依實際業務需求,訂定機關資訊安全政策,並以書面、電子或其他方式告知所屬員工、連線作業之公私機構及提供資訊服務之廠商共同遵行。 八、 各機關訂定之資訊安全政策,應至少每年評估一次,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。 肆、組織及權責 九、 各機關應依下列分工原則,配賦有關單位及人員之權責: (一) 資訊安全政策、計畫及技術規範之研議、建置及評估等事項,由資訊單位負責辦理。 (二) 資料及資訊系統之安全需求研議、使用管理及保護等事項,由業務單位負責辦理。 (三) 資訊機密維護及稽核使用管理事項,由政風單位會同相關單位負責辦理。 各機關未設置資訊及政風單位者,由機關首長指定適當單位及人員負責辦理。 機關業務性質特殊者,得由機關首長調整第一項分工原則。 十、 各機關對所屬機關(構)資訊作業,應進行定期或不定期之資訊安全稽核。 各機關對所屬機關(構)進行外部稽核作業,由資訊單位會同政風單位或稽核單位辦理。 十一、 各機關應指定副首長或高層主管人員負責資訊安全管理事項之協調及推動。 各機關得視需要,成立跨部門之資訊安全推行小組,統籌資訊安全政策、計畫、資源調度等事項之協調研議。 前項資訊安全小組之幕僚作業,由資訊單位或首長指定之單位負責。 十二、 各機關應視資訊安全管理需要,指定適當人員負責辦理資訊安全相關事宜。 伍、人員管理及資訊安全教育訓練 十三、 各機關對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要的考核。 十四、 各機關應針對管理、業務及資訊等不同工作類別之需求,定期辦理資訊安全教育訓練及宣導,建立員工資訊安全認知,提升機關資訊安全水準。 十五、 各機關應加強資訊安全管理人力之培訓,提升資訊安全管理能力。 各機關資訊安全人力或經驗如有不足,得洽請學者專家或專業機關(構)提供顧問諮詢服務。 十六、 各機關負責重要資訊系統之管理、維護、設計及操作之人員,應妥適分工,分散權責,並視需要建立制衡機制,實施人員輪調,建立人力備援制度。 十七、 各機關首長及各級業務主管人員,應負責督導所屬員工之資訊作業安全,防範不法及不當行為。 陸、電腦系統安全管理 十八、 各機關辦理資訊業務委外作業,應於事前研提資訊安全需求,明訂廠商之資訊安全責任及保密規定,並列入契約,要求廠商遵守並定期考核。 十九、 各機關對系統變更作業,應建立控管制度,並建立紀錄,以備查考。 二十、 各機關應依相關法規或契約規定,複製及使用軟體,並建立軟體使用管理制度。 二十一、 各機關應採行必要的事前預防及保護措施,偵測及防制電腦病毒及其他惡意軟體,確保系統正常運作。 柒、網路安全管理 二十二、 各機關利用公眾網路傳送資訊或進行交易處理,應評估可能之安全風險,確定資料傳輸具完整性、機密性、身分鑑別及不可否認性等安全需求,並針對資料傳輸、撥接線路、網路線路與設備、接外連接介面及路由器等事項,研擬妥適的安全控管措施。 二十三、 各機關開放外界連線作業之資訊系統,應視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。 二十四、 各機關與外界網路連接之網點,應以防火牆及其他必要安全設施,控管外界與機關內部網路之資料傳輸與資源存取。 二十五、 各機關開放外界連線作業之資訊系統,必要時應以代理伺服器等方式提供外界存取資料,避免外界直接進入資訊系統或資料庫存取資料。 二十六、 各機關利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。 機關網站存有個人資料及檔案者,應加強安全保護措施,防止個人隱私資料遭不當或不法之竊取使用。 二十七、 各機關應訂定電子郵件使用規定,機密性資料及文件,不得以電子郵件或其他電子方式傳送。 機密性資料以外之敏感性資料及文件,如有電子傳送之需要,各機關應視需要以適當的加密或電子簽章等安全技術處理。 機關業務性質特殊,須利用電子郵件或其他電子方式傳送機密性資料及文件者,得採用權責主管機關認可之加密或電子簽章等安全技術處理。 二十八、 各機關採購資訊軟硬體設施,應依國家標準或權責主管機關訂定之政府資訊安全規範,研提資訊安全需求,並列入採購規格。 各機關發展及應用加密技術,應採用權責主管機關認可之密碼模組產品。 各機關採購外國產製之密碼模組產品,應請廠商提出輸出許可或相關授權文件,確保密碼模組之安全性,並避免採購金鑰代管或金鑰回復功能之產品。 捌、系統存取控制 二十九、 各機關應訂定系統存取政策及授權規定,並以書面、電子或其他方式告知員工及使用者之相關權限及責任。 三十、 各機關應依資訊安全政策,賦予各級人員必要的系統存取權限;機關員工之系統存取權限,應以執行法定任務所必要者為限。對被賦予系統管理最高權限之人員及掌理重要技術及作業控制之特定人員,應經審慎之授權評估。 三十一、 各機關離(休)職人員,應立即取消使用機關內各項資訊資源之所有權限,並列入機關人員離(休)職之必要手續。 機關人員職務調整及調動,應依系統存取授權規定,限期調整其權限。 三十二、 各機關應建立系統使用者註冊管理制度,加強使用者通行密碼管理,並要求使用者定期更新;使用者通行密碼之更新周期,由機關視作業系統及安全管理需求決定,最長以不超過六月個為原則。 對機關內外擁有系統存取特別權限之人員,應建立使用人員名冊,加強安全控管,並縮短密碼更新周期。 三十三、 各機關開放外界連線作業,應事前簽訂契約或協定,明定其應遵守之資訊安全規定、標準、程序及應負之責任。 三十四、 各機關對系統服務廠商以遠端登入方式進行系統維修者,應加強安全控管,並建立人員名冊,課其相關安全保密責任。 三十五、 各機關之重要資料委外建檔,不論在機關內外執行,均應採取適當及足夠之安全管制措施,防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。 三十六、 各機關應確立系統稽核項目,建立資訊安全稽核制度,定期或不定期進行資訊安全稽核作業;系統中之稽核紀錄檔案,應禁止任意刪除及修改。 三十七、 各機關自行開發或委外發展系統,應在系統生命週期之初始階段,即將資訊安全需求納入考量;系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。 玖、系統發展及維護安全管理 三十八、 各機關對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼。 各機關基於實際作業需要,得核發短期性及臨時性之系統辨識及通行密碼供廠商使用。但使用完畢後應立即取消其使用權限。 三十九、 各機關委託廠商建置及維護重要之軟硬體設施,應在機關相關人員監督及陪同下始得為之。 拾、業務永續運作之規劃 四十、 各機關應訂定業務永續運作計畫,評估各種人為及天然災害對機關正常業務運作之影響,訂定緊急應變及回復作業程序及相關人員之權責,並定期演練及調整更新計畫。 四十一、 各機關應建立資訊安全事件緊急處理機制,在發生資訊安全事件時,應依規定之處理程序,立即向權責主管單位或人員通報,採取反應措施,並聯繫檢警調單位協助偵查。 四十二、 各機關應依相關法規,訂定及區分資料安全等級,並依不同安全等級,採取適當及充足之資訊安全措施。 拾壹、其 他 四十三、 各機關應就設備安置、周邊環境及人員進出管制等,訂定妥善之實體及環境安全管理措施。 拾貳、附 則 四十四、 機關業務性質特殊者,得參照本要點另定有關規定。 四十五、 直轄市或縣(市)政府未訂定資訊安全管理規定者,得準用本要點。