行政院通過「資安法」修正案 規避稽覈最多可罰100萬

行政院會今通過數發部擬具的「資通安全管理法」修正案,資安署得定期或不定期稽覈公務機關、特定非公務機關的資安維護計劃,若規避相關調查,主管機關可處10萬以上100萬以下罰鍰。(行政院提供)

資安法修正案規範公務機關、特定非公務機關的資安限制範圍。(資安署提供)

資安法修正案擴大資安署稽覈範圍。(資安署提供)

資安法修正後,資安署可要求公務機關做「調度支援」、「適任性查覈」(資安署提供)

行政院會今(4日)通過數發部擬具的「資通安全管理法」修正案,本次修正重點除明定主管機關及各機關權責,資安署得定期或不定期稽覈公務機關、特定非公務機關的資安維護計劃,同時要求特定非公務機關設置資安長,更增訂中央目的事業主管機關對特定非公務機關重大資通安全事件的調查權限,若規避相關調查,主管機關可處10萬以上100萬以下罰鍰。

資安署指出,資安法修正案主要有三重點,分別是明確機關權責強化合作協力、強化納管機關資安管理、精進資安人力策略。

針對強化納管機關資安管理,包含擴大稽覈範圍,增訂資安署得定期或不定期稽覈納管機關的資通安全維護計劃實施情形,並增訂納管機關對於危害國家資通安全產品有關下載、安裝或使用的相關規範。

針對精進資安人力策略,增訂應符合資通安全責任等級之要求設置資通安全專職人員、強化並提升資通安全人員之專業知能及重大資通安全事件之調度支援等規定,增訂中央目的事業主管機關對特定非公務機關重大資通安全事件之調查權限。

其中,公務機關部分,若遇有重大資通安全事件,資安署得有「調度支援」權力,要求各級機關資通安全人員支援,並視爲在職訓練的一環,且可對涉及國家機密、軍事機密及國防秘密的資通安全業務人員進行「適任性查覈」;特定非公務機關增訂對所屬人員辦理資通安全業務之獎勵及懲處。

資安署長謝翠娟補充,「適任性查覈」是對要處理機敏業務的人員,查覈有無犯罪紀錄;對於「調度支援」所指的重大資安事件,則是影響層面超過縣市政府,或影響民衆權益過大的事件。謝翠娟強調,資安署的稽覈結果會定期公佈,每年都會送到立法院,也會公佈在網站上。

至於特定非公務資安機關範圍爲何?新竹科學園區是否涵蓋在內?數發部次長闕河鳴表示,竹科是關鍵基礎設施,但位於竹科的公司必須是關鍵基礎設施纔會被列入範圍內。

由於過往有公共設備標案,出現陸制設備的狀況,該狀況是否也在資安法管控範圍?闕河鳴表示,資安法規範對象是公務機關或特定非特定機關,規範的是使用情形,而非採購,若是採購的話,將由政府採購法規範。

闕河鳴補充,就算原先採購的是符合規定的,也有可能採購後,使用產品廠牌被併購,若雲端伺服器被放在中國可控地區,當地政府可取得相關資料,就變成危害國家資安的產品,因此本次修法只規範公務機關或特定非公務機關使用方式。

闕河鳴說,若公務機關必須要使用被管制產品,只要兩級資安長同意送數位部備查,基本上都會同意,像是駐外單位需要電信服務,或陸委會需要用到跟中國有關資料庫,現行制度都運作順暢,資安法只是把制度具體化。