一、為協助行政院與所屬機關(構)提升其資訊系統運作安全、穩定、易用及可維護性,辦理政
府數位巡航作業,包括「民生關鍵資訊系統健檢」、「民生關鍵資訊系統效能異常事件協
處」及「任務性資訊系統建置」項目,數位發展部特訂定本原則。
二、數位發展部為政府數位巡航作業之主辦機關,並得視需要,請國家資通安全研究院協助辦
理。
三、本原則適用對象為行政院及所屬各級機關(構)(以下稱各機關)。
前項以外其他中央及地方機關(構),得向主辦機關申請辦理民生關鍵資訊系統健檢、民生關鍵資訊系統效能異常事件協處,其辦理程序準用本原則規定。
四、本原則用詞,定義如下:
(一)民生關鍵資訊系統:各機關依資通安全管理法第十條及該法施行細則第六條訂定之資通安全維護計畫所載核心資通系統,且該系統業務失效影響涉及財務損失、民眾權益損失或經濟發展受阻者。
(二)民生關鍵資訊系統健檢:主辦機關依據本原則檢測民生關鍵資訊系統運作情形。
(三)受健檢單位:接受民生關鍵資訊系統健檢之各機關。
(四)民生關鍵資訊系統效能異常事件協處:民生關鍵資訊系統運作效能之監測及其異常事件之協助處理。
(五)任務性資訊系統建置:配合社會重大事件或政府施政緊急措施,主辦機關協同業務主責機關建置資訊系統。
五、主辦機關得盤點民生關鍵資訊系統,各機關應配合提供該管民生關鍵資訊系統之基本資料檔及相關資料。
六、主辦機關得佈設偵測機制,監測民生關鍵資訊系統運作效能。
前項民生關鍵資訊系統之主責機關應配合佈設工作並提供必要協助。
七、主辦機關依第五點盤點所得之民生關鍵資訊系統基本資料檔,及依前點第一項偵測機制所得之資料,得於辦理本原則政府數位巡航作業時參考使用。
八、主辦機關應訂定年度民生關鍵資訊系統健檢計畫。
九、民生關鍵資訊系統健檢之辦理規定如下:
(一)主辦機關應於健檢一個月前以書面或線上方式通知受健檢單位。
(二)主辦機關得要求受健檢單位及其上級機關派員參與並配合下列事項:
1.召開會議進行訪談、提供說明及資料。
2.依健檢作業需要,對健檢標的相關軟硬體設備、程式原始碼、設定檔、開發與部署流程、網路、雲端環境等執行檢查及測試等相關工作。
(三)主辦機關應於辦理健檢完成後一個月內,以書面或線上方式向受健檢單位提出資訊系統健檢報告。
(四)受健檢單位接獲資訊系統健檢報告,原則於一個月內針對該報告所列待改善項目,以書面或線上方式向主辦機關提出矯正措施及預定完成時限,並依限完成。
(五)主辦機關認有必要時,得要求受健檢單位說明或調整矯正措施及預定完成時限。
(六)主辦機關得於受健檢單位完成矯正措施後,辦理複檢。
(七)主辦機關複檢確認受健檢單位矯正措施成效不如預期者,得將其納為次年度之受健檢單位。
十、受健檢單位因故無法配合健檢,應以書面或線上方式通知主辦機關,並辦理下列事項:
(一)無法配合健檢日期者,應於接獲健檢通知後五日內,向主辦機關敘明理由,並協商健檢日期。
(二)無法配合辦理前點第二款之事項者,應向主辦機關敘明理由,並提出替代方案,經主辦機關同意後為之。
十一、民生關鍵資訊系統效能異常事件協處之辦理規定如下:
(一)民生關鍵資訊系統發生異常事件,致生財務損失、民眾權益損失或經濟發展受阻情形,其主責機關或其上級機關得向主辦機關申請協處。
(二)主辦機關得要求申請機關及主責機關派員參與並配合下列事項:
1.召開會議進行訪談、提供說明及資料。
2.依事件協處之需要,對協處標的相關軟硬體設備、程式原始碼、設定檔、開發與部署流程、網路、雲端環境等執行檢查及測試等相關工作。
(三)主辦機關應於協處完成後一個月內,以書面或線上方式向申請機關提出異常事件協處報告。
(四)申請機關接獲異常事件協處報告,原則於一個月內針對該報告所列待改善項目,以書面或線上方式向主辦機關提出矯正措施及預定完成時限,並依限完成。
(五)主辦機關認有必要時,得要求申請機關說明或調整矯正措施及預定完成時限。
(六)主辦機關得於申請機關完成矯正措施後,辦理複測。
(七)主辦機關複測確認申請機關矯正措施成效不如預期者,得將其納為次年度民生關鍵資訊系統健檢計畫之受健檢單位。
十二、主辦機關建置任務性資訊系統前,得邀請業務主責機關與相關機關首長、副首長、業務及資訊單位主管,成立協調溝通小組,釐清各利害關係人需求、應配合事項及權利義務。
十三、主辦機關建置任務性資訊系統時,得要求業務主責機關與相關機關派員配合參與該資訊系統功能建置及測試作業。
前項資訊系統功能建置及測試作業之配合事項,由主辦機關依實際情況提出需求。
十四、任務性資訊系統經業務主責機關及相關機關測試並確認可用後,正式上線營運。
前項資訊系統由業務主責機關負責後續營運與維護工作,主辦機關得協助提供一個月之技術支援及諮詢服務,並依實際情況提供資訊系統相關資料文件。
十五、主辦機關及各利害關係人依本原則辦理政府數位巡航作業過程應善盡保密責任。