本部除因不可抗力因素外,應每年擇定特定非公務機關,以現場稽核方式,稽核其資通安全維護計畫實施情形。
本部為辦理前項稽核,應訂定稽核計畫,包括稽核之依據與目的、期間、稽核小組組成方式、保密義務、稽核方式、項目及基準等與稽核相關之事項。
本部決定前項稽核之項目及基準時,應綜合考量我國資通安全政策、國內外資通安全趨勢、過往稽核成效及稽核資源相關因素。
本部依第一項規定擇定受稽核之特定非公務機關(以下簡稱受稽核者)時,應綜合考量其資通安全責任等級、資通安全事件發生之頻率與程度、資通安全演練之結果、歷年受本部稽核之頻率與結果及其他與資通安全相關因素。
本部辦理前條第一項之稽核,應於一個月前將稽核計畫以書面通知受稽核者。
前項受稽核者因業務因素或其他正當理由,無法於本部指定之時間配合稽核者,得於收受前項通知後五日內,以書面敘明理由向本部申請變更稽核日期。
前項申請,除有不可抗力之事由外,以一次為限。
本部辦理第六條第一項之稽核,得要求受稽核者說明資通安全維護計畫實施情形、提供相關佐證資料供現場查閱,並配合執行下列事項:
一、稽核前訪談。
二、現場實地稽核。
受稽核者依法律有正當理由,不能為前項說明、提供資料或配合措施時,應以書面敘明理由,向本部提出。
本部收受前項書面後,應進行審核,依下列規定辦理,並得停止稽核作業之全部或一部:
一、認有理由者,應將審核之依據及相關資訊記載於稽核結果報告。
二、認無理由者,應要求受稽核者依第一項規定辦理;已停止稽核作業者,得擇期續行辦理,並於十日前以書面通知受稽核者。
本部為辦理第六條第一項之稽核,應依同條第四項之考量因素及實際稽核需求組成稽核小組。
前項稽核小組成員三人至七人,由具備資通安全政策或該次稽核所需之技術、管理、法律或實務專業知識之公務機關代表或專家學者擔任;其中公務機關代表不得少於全體成員人數之三分之一。
前項公務機關代表或專家學者有下列情形之一者,應主動迴避擔任該次稽核之稽核小組成員:
一、本人、其配偶、三親等內親屬、家屬或上開人員財產信託之受託人,與受稽核之特定非公務機關或其負責人間有財產上或非財產上之利害關係。
二、本人、其配偶、三親等內親屬或家屬,與受稽核之特定非公務機關或其負責人間,目前或過去二年內有僱傭、承攬、委任、代理或其他類似之關係。
三、目前或過去二年內,本人或任職之機關(構)或單位,為受稽核之特定非公務機關之顧問,其輔導項目與受稽核項目相關。
四、其他足認擔任稽核小組成員將影響稽核結果公正性之情形。
本部應以書面與稽核小組成員約定利益衝突之迴避事項及執行稽核之保密義務。
本部應於稽核作業完成後一個月內,將稽核結果報告交付受稽核者。
前項稽核結果報告之內容,應包括稽核之範圍、缺失或待改善事項、第八條第二項所定受稽核之特定非公務機關未能為說明、提供資料或配合措施之情形與理由及其他相關事項。
本部辦理稽核後,應於次年一月底前彙整第一項稽核結果報告,並送本部資通安全署。
受稽核者經發現其資通安全維護計畫實施有缺失或待改善者,應於收受稽核結果報告後一個月內,依本部指定之方式,向本部提出改善報告。
受稽核者依前項規定提出改善報告後,應依其缺失或待改善事項之性質、程度,適時以書面提出改善報告之執行情形;本部認有必要時,得要求受稽核者進行說明或調整。