行政院修「資安法」 納管特定非公務機關、資安事件拒調查可罰100萬
▲數發部闕河鳴次長出席行政院會記者會。(圖/記者陳家祥攝)
記者陳家祥/臺北報導
因應數位發展部成立,爲使資通安全管理法規範事項更符合實務運作,行政院會4日通過數位發展部擬具的「資通安全管理法」修正草案,未來修法後,資安署得稽覈所有納管的公務機關或特定非公務機關,當發生重大資安事件時,若規避、妨礙或拒絕調查,可開罰新臺幣10萬以上、100萬元以下罰鍰。
行政院長卓榮泰說,臺灣是遭受境外網路攻擊、全球資安攻防的一級戰區,爲因應不斷升級進化的資安威脅,以及數位發展部的成立,本修正草案將進一步強化國家整體資通安全法律規範,明確化法律位階,促進政府跨機關的合作及區域聯防,有效落實納管機關及關鍵基礎建設的資安管理及防護,並推動資安人員培力機制,解決實務執行落差,請相關部會配合本次修法積極辦理。
數位部說,此次修法包含四大方向:第一,明定本法主管機關及各機關權責。第二,強化納管機關資通安全管理,包含擴大稽覈範圍,增訂資安署得定期或不定期稽覈納管機關之資通安全維護計劃實施情形,並增訂納管機關對於危害國家資通安全產品有關下載、安裝或使用之相關規範。
第三,增訂應符合資通安全責任等級之要求設置資通安全專職人員、強化並提升資通安全人員之專業知能及重大資通安全事件之調度支援等規定。第四,增訂中央目的事業主管機關對特定非公務機關重大資通安全事件之調查權限。
未來修法後,若遇到重大資安事件,資安署得稽覈所有納管的公務機關或特定非公務機關,依程序通知當事人或關係人到場陳述、提出第三方機構調查報告,且主管機關可派員、委任其他機關前往當事人及關係人之處所實施必要之檢查。若規避、妨礙或拒絕調查者,可開罰新臺幣10萬以上、100萬元以下罰鍰。
數位部表示,面對複雜多變之資安攻擊型態,國內資通安全環境越趨嚴峻,本次修法透過明定權責、強化納管機關資通安全管理、增訂資通安全人員職能訓練及調度支援,以及配合實務運作調整法條文字等,持續完善我國資通安全法制規範,期盼透過本次修法,強化我國資通安全防護體系、健全資通安全環境。
另外,針對特定非公務機關的範圍,數發部次長闕河鳴說明,基本上關鍵基礎設施都是包含在特定非公務機關的範圍中,像是新竹科學園區就屬於關鍵基礎設施。
但闕河鳴指出,在科學園區中的企業屬私領域,則不在此範疇;也就是說,一般公司、財團法人等都是要被行政院列爲關鍵基礎設施,纔會被列爲特定非公務機關的範圍中。