单位的责任分级

压等行不行

本篇适用人员: 资安人员。适用法规: 资通安全责任等级分级办法。

资安法中份量最大、也是最重要的子法「资通安全责任等级分级办法」，里面涵盖了 IT 人员最先要采取的动作以及大部份的管理、技术细节。其中的依据就是看所属单位的责任分级是 A、B、C、D、E 中的哪一级(注1)。

一般而言，只有上级机关需要想破脑袋，想办法去依据资通安全责任等级分级办法 让自己被判定为最低限度的等级。但身为资安人员需要了解这个判定内容也是会修正的，例如上头觉得你的单位性质「涉及敏感资料」就帮你自动升级到 B; 或是 D 级单位经修法後规定拥有特定系统(例如AD、eMail)就会被提高为 C 级。

确认责任分级後的下一步: 查询该等级的应办事项, 这里以 B 级之公务机关为例，可以看到大致分为三类，管理面、技术面、认知与训练。也因此往後会将角色区分为资安人员，负责文件产出，以及资讯人员(包含网路、系统、应用等)负责技术面的执行。

单单只有两、三页的内容乍看之下可能觉得没什麽，但仔细看管理面中的「资讯安全管理系统之导入及通过公正第三方之验证]，也就是需要导入 ISMS (ISO 27001)，就知道事件大条了! 後续的文章会针对每一项实施(绝大部份都是 ISMS 要求事项)进行说明。如果想先了解概况的可以参考精美的懒人包。连懒人都这麽复杂...扛的住吗?

至此厘清了我是谁(aka 资讯人员兼资安人员)、我在哪(B级机关)、我要干麽(B级之公务机关应办事项)。

注1: 根据108年6月资通安全管理法-教育体系之法遵说明的内容来看，如果维运的是非核心系统，可以降为 D+ 级。可以省去不少 C 级应办事项如资安的专职人员(还是要有专责人员)、内部稽核(只需检查)等。

文件库

资安法法规

参考资源

责任等级判定
资安法懒人包