政院修資安法納管特定非公務機關 規避調查最重罰百萬
行政院今天舉行例行記者會。記者黃婉婷/攝影
「資通安全管理法」上路5年首度大調整,修正草案今天通過行政院會,草案賦予主管機關遇到重大資安事件,可調度其他機關的資安人員共同聯防,對有危害資安之虞的資通訊產品,限制力道從產品擴大到使用;各部會可對管理的特定非公務機關重大資安事件進行行政調查,若妨礙或拒絕調查,最高可罰100萬元。
此次修法納管範圍大致不變,適用範圍爲政府公部門跟特定非公務機關,未納入一般民間企業。特定非公務機關分爲2類,一是行政院覈定的八大關鍵基礎設施提供者,如中華電信,以及公營事業或特定財團法人,如電信技術中心。資安法主要規範機關使用情形,若是公共設備標案出現陸制設備,就回歸政府採購法。
修法共有3大重點,第一是明確機關權責強化合作協力。資安法主管機關原爲行政院,配合組織改造後,主管機關改爲數位部,國家資通安全業務將由數位部資安署辦理;草案並將現行行政院設置國家資通安全會報入法明文化,強化橫向溝通與聯防。
強化納管機關資通安全管理,包含擴大稽覈範圍,增訂資安署得定期或不定期稽覈納管機關的資通安全維護計劃實施情形,
第二爲強化納管機關資安管理。草案明確要求公務機關不可採購與使用危害國家資通安全產品,提供公衆視聽或使用的傳播設備及網際網路接取服務場所亦在限制範圍,並明定公務人員獲配的公務設備,不可以下載、安裝或使用危害國家資通安全產品,若因業務需求且無其他替代方案,可專案使用。
針對特定非公務機關,除了限制機關本身不得使用危害國家資通安全產品,提供公衆視聽或使用的傳播設備及網際網路接取服務的場所,基於維護資通安全之必要可納入限制;數位部可對特定非公務機關下載、安裝或使用危害國家資通安全產品,得予以限制或禁止。但因業務需求且無其他替代方案者,可專案使用。
爲強化公務機關資安,草案導入地方聯防、採分層監管模式。如果受稽覈機關的資安維護計劃實施有缺失或待改善,必須向稽覈機關提出改善報告外,也要送到資安署,以利資安署掌握全臺資安現況。
第三爲精進資安人力,根據草案,公務機關應符合資通安全責任等級要求,設置專職資通安全人員。資安署應妥善規劃推動資安人員職能訓練,若有重大資安事件,資安署可直接調度各級機關資通安全人員支援,且可對涉及國家機密、軍事機密及國防秘密的資通安全業務人員進行「適任性查覈」。
另爲強化特定非公務機關的資安管理,將比照公務機關規定,要求特定非公務機關設置「資安專職人員」及「資安長」;若遇到重大資安事件,各部會可對管理的特定非公務機關進行行政調查,規避、妨礙或拒絕行政調查,可開罰10萬到100萬元。
資安署長謝翠娟補充,適任性查覈是要確定處理機敏業務的人員有無犯罪紀錄;至於重大資安事件定義,她舉例,是影響層面超過縣市政府,或影響民衆權益過大的事件;資安署稽覈結果將定期公佈在網站上,每年也會送到立法院。