9. 特定非公務機關若因業務需求且無其他替代方案,專案欲使用危害國家資通安全產 品,下列有關其申請程序之敘述,何者正確?
(A) 該機關資訊長可自行核定後使用,但需列冊管理
(B) 經該機關首長同意,函報主管機關核定
(C) 經該機關資通安全長核可,函報中央目的事業主管機關核定
(D) 經該機關資訊長核可,函報主管機關核定
統計: A(1), B(1), C(13), D(3), E(0) #3923633
詳解 (共 2 筆)
這題的正確解答是 (C) 經該機關資通安全長核可,函報中央目的事業主管機關核定。
這題考的是台灣《資通安全管理法》(簡稱資安法)針對特定非公務機關(如關鍵基礎設施、醫院、公營事業等)使用「危害國家資通安全產品」(例如特定被禁用的陸資廠牌設備或軟體)的例外申請程序。
以下為您詳細說明解答與原因分析:
正確答案分析
-
解題關鍵:(C) 關鍵在於「資通安全長」與「中央目的事業主管機關」
-
核心原因:根據資安法主管機關(數位發展部資通安全署)制定的相關規範與函釋,特定非公務機關(如 A、B、C 級醫院或關鍵基礎設施)因業務特殊需求、無其他替代方案而必須使用特定危害國家資安產品時,內部必須先由該機關的「資通安全長(CISO)」審查核可。
-
外部程序:因為是「非公務機關」,它的直屬管轄單位是各產業的「中央目的事業主管機關」(例如:醫療機構的中央目的事業主管機關為衛生福利部)。因此內部核可後,必須函報中央目的事業主管機關核定,才能例外使用,並必須採取適當的隔離與防護措施。
-
其他選項原因分析(為何不選?)
-
(A) 該機關資訊長可自行核定後使用,但需列冊管理
-
原因:資安攸關國家安全,層級極高,絕對不可能由機關內部自行核定即使用。且依法應由負責整體資安治理的「資通安全長」審查,而非單純管理 IT 運作的「資訊長(CIO)」。
-
-
(B) 經該機關首長同意,函報主管機關核定
-
原因:這裡的「主管機關」在資安法中指的是數位發展部。特定非公務機關有其對應的行業管理部會(中央目的事業主管機關),不能直接跳過管轄部會函報給數發部;此外,內部發起人應為法定編制的「資通安全長」。
-
-
(D) 經該機關資訊長核可,函報主管機關核定
-
原因:錯誤有二:第一,內部核可權責在於「資通安全長」,而非「資訊長」;第二,非公務機關的函報對象為「中央目的事業主管機關」,而非資安法的主管機關。
-
? 關鍵概念複習
公務機關(如部會、縣市政府):程序為「經該機關資通安全長核可,函報上級機關核定,並送主管機關(數發部)備查」。
特定非公務機關(如醫院、竹科廠商、關鍵基礎設施):程序為「經該機關資通安全長核可,函報中央目的事業主管機關(如衛福部、經濟部)核定」。