複選題

8. A 公司承攬甲金融機構(屬資通 安全管理法規範對象)所委託之系統開發案，B 公司受 A 公 司之複委託，辦理部份系統開發業務，B 公司於開發所負責 之 Y 系統過程中，系統開發工程師將開發區之電腦私自連接 外部網路，因故導致該電腦受駭客攻擊，造成部份系統程式 碼外洩之重大資通安全事件。關於此資通安全事件之處置下 列哪些最適切？(複選)
(A) 辦理對 B 公司網路維護工程師之適任性查核
(B) B 公司通報 A 公司並通知甲金融機構資通安全事件
(C) B 公司採行補救措施
(D) 甲金融機構決議解除複委託業務，確認複委託之受託 者返還、移交、刪除或銷毀履行契約而持有之資料

總結

依據《資通安全管理法施行細則》第 4 條第 6 款及第 7 款規定，複委託受託者（B 公司）於知悉資通安全事件時，應立即通知委託機關並採行補救措施；於委託關係終止或解除時，應確認受託者返還、移交、刪除或銷毀履行契約而持有之資料【(lawplayer.com, Rootlaw)】。因此，對於本案 Y 系統遭駭客攻擊導致程式碼外洩的重大資安事件，最適切的處置為：

• (B) B 公司通報 A 公司並通知甲金融機構

• (C) B 公司採行補救措施

• (D) 甲金融機構決議解除複委託業務，並確認資料之返還、移交或銷毀

條文依據

• 第 4 條第 6 款：「受託者執行受託業務，違反資通安全相關法令或知悉資通安全事件時，應立即通知委託機關及採行補救措施。」【(lawplayer.com)】

• 第 4 條第 7 款：「委託關係終止或解除時，應確認受託者返還、移交、刪除或銷毀履行契約而持有之資料。」【(Rootlaw)】

選項解析

(A) 辦理對 B 公司網路維護工程師之適任性查核

• 條文第四款規定之適任性查核，僅適用於「受託業務涉及國家機密者」的相關人員【(六法全書, 台北市法律網)】。

• 本案 Y 系統屬中級資通系統，並非國家機密範疇，故不需針對該工程師進行適任性查核。

(B) B 公司通報 A 公司並通知甲金融機構資通安全事件

• 條文第 6 款明確要求，B 公司應立即通知委託機關（A 公司），並依契約關係，同步告知最終委託單位（甲金融機構），以利整體事件管理與後續回應【(lawplayer.com)】。

(C) B 公司採行補救措施

• 同條款續規定，B 公司應採行適當之補救措施，如啟動備援、恢復系統運轉及損害管制，以防止事件擴大並快速復原服務【(lawplayer.com, 行政院公報資訊網)】。

(D) 甲金融機構決議解除複委託業務，並確認複委託之受託者返還、移交、刪除或銷毀履行契約而持有之資料

• 條文第 7 款明載，於委託關係終止或解除時，應確認受託者對所持有之資料進行返還、移交、刪除或銷毀，以確保敏感資訊不被遺留。此為後續資安管控重要步驟，屬正確處置之一環【(Rootlaw, 台北市法律網)】。

結論

最適切的資安事件處置選項為 (B)、(C)、(D)，課本答案 BCD 與法規規定完全相符。