第 2 條
- 1設置公眾電信網路者(以下簡稱設置者)應於主管機關通知之日起三個月內,依主管機關公告之關鍵電信基礎設施調查表(以下簡稱調查表)盤點及自評其公眾電信網路之各項電信基礎設施後,提報主管機關。
- 2前項設置者檢具之調查表應載明之項目不完備者,應於主管機關通知之期限內補正。
第 4 條
- 1關鍵電信基礎設施之設置者(以下簡稱關鍵設施設置者)應於主管機關指定關鍵電信基礎設施及其級別後三個月內,依關鍵電信基礎設施安全防護計畫範本所定格式與項目,訂定其關鍵電信基礎設施防護計畫,報請主管機關評定。
- 2關鍵設施設置者提報之關鍵電信基礎設施防護計畫應載明事項不完備者,應於主管機關通知之期限內完成補正。
- 3關鍵設施設置者應依主管機關評定之關鍵電信基礎設施防護計畫實施;其關鍵電信基礎設施防護計畫有變更時,應報請主管機關重新評定。
第 5 條
主管機關評定關鍵電信基礎設施防護計畫之基準項目如下:
- 一、目標與防護組織:應含計畫依據、設施等級、設施基本資料、設施安全防護目標、設施防護管理團隊、設施重要性等內容。
- 二、資通訊系統盤點:應含設施、系統、網路、外部關鍵資源及內部必要資產等內容。
- 三、風險評估:應含威脅辨識、衝擊評估、關鍵資源中斷影響等內容。
- 四、防護範圍:應含減災策略與決定優先防護強化項目次序等內容。
- 五、控制措施與執行:應含依預防、減災、應變、復原等四個階段之各項災害威脅(天然、人為、資安)之通報應變計畫及內部必要資產、外部關鍵資源的防護管理項目與執行重點等內容。
- 六、衡量實施成效:應含衡量各類計畫與標準操作程序(SOP)實施成效的演練計畫、工作項目、衡量頻率與依據、檢討與改善項目、改善進度掌握與追蹤等內容。