數位部預告修正資安法,納管範圍大致不變,增訂政府機關資安人員類一條鞭制度,並明確禁止公部門使用危害國家資通安全產品;另外,各部會可對管理的特定非公務機關重大資安事件進行行政調查,若妨礙或拒絕調查,最高可開罰新台幣100萬元。
根據修正草案總說明,資通安全管理法2018年6月6日制定公布,並在2019年1月1日施行,不曾修正過。因應去年8月數位部成立,掌理國家資通安全業務,並下設資安署,掌理國家資通安全規劃、推動與執行,為了讓資安法規範更符合實務運作,因此提出修正草案,預告60天到11月20日止。
外界先前關注資安法納管範圍是否會擴及一般民間企業,數位部表示,資安法修法並不會管到一般民間企業,資安法適用範圍為政府公部門跟特定非公務機關,整體納管範圍大致不變。
數位部說明,特定非公務機關主要有2類,一類是行政院核定的八大關鍵基礎設施提供者,像是中華電信等,另一類是公營事業或特定財團法人,像是電信技術中心等。如果資安事件涉及個資外洩,會先適用罰則較重的個資法。
資安法修法五大重點
重點一:調整主管機關
根據預告內容,資安法修法有5大重點。第一是主管機關調整,讓權責更明確。資安法主管機關原為行政院,配合組織改造後,主管機關改為數位部,國家資通安全業務則由數位部資安署辦理。
此外,明定由行政院設置國家資通安全會報,把現行國家資通安全會報入法明文化,強化橫向溝通與聯防等。
重點二:公務機關不得使用危害國家資通安全產品
第二,明確要求公務機關不可採購與使用危害國家資通安全產品。現行本來就有規範公部門的「各機關對危害國家資通安全產品限制使用原則」,修法把此原則提升到法律位階,也提到公務人員獲配的公務設備,不可以下載、安裝或使用危害國家資通安全產品。
公務機關採購資通訊產品,如果涉及危害國家資安疑慮時,可以向資安署確認。
重點三:地方聯防、分層監管
第三,強化公務機關資安,導入地方聯防、採分層監管模式。如果受稽核機關的資安維護計畫實施有缺失或需改善,除了向稽核機關提出改善報告外,也要送到資安署,以利資安署掌握全台資安現況。
重點四:拒絕行政調查開罰最高100萬
第四,強化特定非公務機關的資安管理,要求特定非公務機關增設資安長。
此外,為落實特定非公務機關資通安全的維護,各部會可對管理的特定非公務機關,若有重大資安事件可進行行政調查,必要時可公告重大資安事件處理狀況跟內容,如果規避、妨礙或拒絕行政調查,可以開罰10萬到100萬元。
重點五:一條鞭制度
第五,增訂政府機關資安人員類一條鞭制度。公務機關應符合資通安全責任等級的要求,設置專職資通安全人員。資安署應妥善規劃推動資安人員的職能訓練,如果碰到重大資安事件,資安署可直接調度各級機關資通安全人員來支援。
本文授權轉載自:中央社
責任編輯:蘇祐萱
