小彭的網路日誌

今天看到客戶的內部網站公告，覺得發公告應該要去重修資安課！

資通安全管理法 共22條
https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297

資通安全管理法施行細則 共13條
https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030303

資安法下的其中一個子法，全名為《資通安全管理法施行細則》，資安法施行細是由資安法第二十二條授權給主管機關（行政院）訂定的，在法律位階上屬於行政命令的層級，不需要像資安法一樣在立法院三讀通過，因此可以由主管機關自行訂定、修正。
施行細則只要求要有ISMS，但實務上大多還是會以有無取得 ISO 27001 驗證來判定，畢竟資安稽核規定不是承辦人說了算！

需明確規定，委外廠商是否能轉包、轉包的範圍與對象、下包廠商的資安維護措施。（第四條第一項第三款）
委外業務若涉及國家機密，委外廠商執行此專案的員工需接受適任性查核，並依《國家機密保護法》規定，管制出境。（第四條第一項第四款）
委外開發客製化系統時，委外廠商需提供系統資安檢測證明；若該系統為委託機關核心系統，或委外金額（即得標金額）超過 $10,000,000 時，委託機關需要自行或委託第三方進行資安檢測；系統中含有非委外廠商自行開發的系統資源時，應標示非委外廠商開發的內容及授權證明。（第四條第一項第五款）