9. 特定非公務機關若因業務需求且無其他替代方案,專案欲使用危害國家資通安全產 品,下列有關其申請程序之敘述,何者正確?
(A) 該機關資訊長可自行核定後使用,但需列冊管理
(B) 經該機關首長同意,函報主管機關核定
(C) 經該機關資通安全長核可,函報中央目的事業主管機關核定
(D) 經該機關資訊長核可,函報主管機關核定

答案:登入後查看
統計: A(1), B(1), C(13), D(3), E(0) #3923633

詳解 (共 2 筆)

#7403510
第 9 題 正確答案: C 解析: 依...
(共 193 字,隱藏中)
前往觀看
1
0
#7421844

這題的正確解答是 (C) 經該機關資通安全長核可,函報中央目的事業主管機關核定

這題考的是台灣《資通安全管理法》(簡稱資安法)針對特定非公務機關(如關鍵基礎設施、醫院、公營事業等)使用「危害國家資通安全產品」(例如特定被禁用的陸資廠牌設備或軟體)的例外申請程序。

以下為您詳細說明解答與原因分析:

正確答案分析

  • 解題關鍵:(C) 關鍵在於「資通安全長」與「中央目的事業主管機關」

    • 核心原因:根據資安法主管機關(數位發展部資通安全署)制定的相關規範與函釋,特定非公務機關(如 A、B、C 級醫院或關鍵基礎設施)因業務特殊需求、無其他替代方案而必須使用特定危害國家資安產品時,內部必須先由該機關的「資通安全長(CISO)」審查核可。

    • 外部程序:因為是「非公務機關」,它的直屬管轄單位是各產業的「中央目的事業主管機關」(例如:醫療機構的中央目的事業主管機關為衛生福利部)。因此內部核可後,必須函報中央目的事業主管機關核定,才能例外使用,並必須採取適當的隔離與防護措施。

其他選項原因分析(為何不選?)

  • (A) 該機關資訊長可自行核定後使用,但需列冊管理

    • 原因:資安攸關國家安全,層級極高,絕對不可能由機關內部自行核定即使用。且依法應由負責整體資安治理的「資通安全長」審查,而非單純管理 IT 運作的「資訊長(CIO)」。

  • (B) 經該機關首長同意,函報主管機關核定

    • 原因:這裡的「主管機關」在資安法中指的是數位發展部。特定非公務機關有其對應的行業管理部會(中央目的事業主管機關),不能直接跳過管轄部會函報給數發部;此外,內部發起人應為法定編制的「資通安全長」。

  • (D) 經該機關資訊長核可,函報主管機關核定

    • 原因:錯誤有二:第一,內部核可權責在於「資通安全長」,而非「資訊長」;第二,非公務機關的函報對象為「中央目的事業主管機關」,而非資安法的主管機關。

? 關鍵概念複習

  • 公務機關(如部會、縣市政府):程序為「經該機關資通安全長核可,函報上級機關核定,並送主管機關(數發部)備查」。

  • 特定非公務機關(如醫院、竹科廠商、關鍵基礎設施):程序為「經該機關資通安全長核可,函報中央目的事業主管機關(如衛福部、經濟部)核定」。

0
0

私人筆記 (共 1 筆)

私人筆記#8245914
未解鎖
核心法規差異對比 在業務需求確有必要且...
(共 609 字,隱藏中)
前往觀看
0
0