行政院資安處在9月底上網公開了資通安全管理法草案時,一方面匯集各界建議,另一方面也是要向民眾說明立法緣由,資安處說明整理如下:
參諸國際近年對於資通安全之保護,已逐漸以訂立專法之方式加以規範,例如:美國的聯邦資訊安全現代化法、網路安全法,日本的網路安全基本法等,歐盟近日亦甫通過網絡暨資訊系統安全指令。我國在公務機關目前已設有資通安全推動單位與相關遵行規則,包括行政院及所屬機關資訊安全管理要點、行政院及所屬各機關資訊安全管理規範、國家資通安全通報應變作業綱要等,若能進一步透過專法之設立,賦予各機關資通安全維護義務之法律基礎,將更能有效提昇我國公務機關之資通安全能量。
在私部門方面,目前我國雖有得適用於私部門之資通安全相關法制,例如,刑法電腦犯罪章針對電腦犯罪加以處罰、電信法對於通訊環境設備加以管制、個人資料保護法對於個資安全加以保護,及政府資訊公開法規範政府資訊之合理公開等,但各法之訂定目的大相逕庭,切入之角度也各有不同。以風險管理為出發點,針對整體資通環境之法律位階規定則尚待建立。此外,關鍵基礎設施及部分其他非公務機關所提供之產品或服務,涉及國土安全之維護與民眾生活之安全,其資通安全,也應被視為國家安全的一環,這更加深了應以專法加以規定,以進一步健全並強化我國資通安全法制的必要性。
基於上述之理由,我國實需一部針對整體資通環境,以風險管理為核心之資通安全管理專法,來降低並防範相關之資通安全風險。資安處並列出了這次立法17項重點如下:
一、本法之立法目的及用詞定義(草案第一條、第二條)二、政府應整合民間力量推動資通安全相關事項;行政院應擘劃資通安全相關政策,並推動相關事務之執行,於必要時得將部分事務委任或委託其他公務機關、法人或團體辦理之(草案第三條至第五條)。
三、行政院應訂定資通安全責任等級分級辦法,並查核所屬或監督之各級公務機關或適用該辦法之非公務機關之資通安全維護情形;受查核機關應就缺失或待改善事項完成矯正、預防報告或提出相關計畫,並將報告或計畫送交予其上級或監督機關或中央目的事業主管機關(草案第六條)。四、行政院應建立資通安全情資分享機制,並就情資之分析、整合與分析之內容、程序、方法及其他事項,訂定相關辦法(草案第七條)。
五、公務機關及非公務機關,於本法適用範圍內,委外辦理資通系統或資通服務事宜時,應就受託者之資通安全維護為監督(草案第八條)。六、公務機關應由其首長指派副首長或適當人選擔任機關之資通安全長,負責推動及監督機關內資通安全相關事項;公務機關並應考量其所屬資通安全責任等級之要求及保有或處理之資訊種類等條件,訂定、修正及實施資通安全維護計畫,且應就計畫之實施情形向上級或監督機關提出報告,無上級機關者,報告應送交行政院(草案第九條至第十一條)。
七、公務機關應查核其所屬或監督機關之資通安全維護計畫實施情形;受查核機關應就缺失或待改善事項完成矯正、預防報告或提出相關計畫,並將報告或計畫送交上級或監督機關(草案第十二條)。八、公務機關應訂定資安事件之通報及應變機制,並於事件發生時,依規定向上級機關、監督機關或行政院進行通報;事件後,應分別依規定向上級機關或行政院提出事件之調查、處理及矯正、預防情形或相關計畫之報告;通報及應變機制之必要事項、通報之內容、報告之提出及其他相關事項之辦法,由行政院定之(草案第十三條)。九、公務機關就所屬人員資通安全維護績效應有適當之獎懲,其基準及其他相關事項,由行政院定之(草案第十四條)。
十、中央目的事業主管機關應提出關鍵基礎設施提供者清單,並報請行政院核定;關鍵基礎設施提供者應訂定、修正、實施資通安全維護計畫,並向中央目的事業主管機關就計畫之實施情形提出報告;如其實施經查核發現缺失,則應將矯正、預防報告或相關計畫送交中央目的事業主管機關;以上資通安全維護計畫、矯正、預防報告或計畫,及其他相關事項,授權由中央目的事業主管機關定之(草案第十五條)。
十一、除關鍵基礎設施提供者外,適用資通安全責任等級分級辦法之非公務機關,及受中央目的事業主管機關指定之非公務機關,應訂定、修正、實施資通安全維護計畫,並應中央目的事業主管機關之要求,提出計畫實施情形報告;如其實施經查核發現缺失,則應依要求將矯正、預防報告或相關計畫送交中央目的事業主管機關;以上資通安全維護計畫、矯正、預防報告或計畫,及其他相關事項,授權由中央目的事業主管機關定之(草案第十六條)。
十二、於本法適用範圍內,非公務機關應制定通報及應變機制,並於事件發生時向中央目的事業主管機關進行通報;事件後,並應向中央目的事業主管機關提出事件之調查、處理及矯正、預防或相關計畫之報告;如為重大資通安全事件時,報告並應送行政院;以上通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由行政院定之(草案第十七條)。
十三、中央目的事業主管機關因查核資通安全維護計畫發現重大缺失,或遇重大資通安全事件,認有必要時,得率同資訊、法律等專業人員進入受查核之非公務機關場所檢查;非公務機關及相關人員不得規避、妨礙或拒絕;參與檢查之人員就因而知悉之他人秘密資訊,應負保密義務(草案第十八條)。
十四、於本法適用範圍內,非公務機關違反本法關於資通安全維護計畫之訂定、修訂及實施規定時之罰則(草案第十九條)十五、於本法適用範圍內,非公務機關違反本法規定,未進行資安事件通報時之罰則(草案第二十條)。十六、於本法適用範圍內,非公務機關未依本法規定繳交資通安全維護計畫實施情形報告、矯正或預防相關報告、未訂定通報及應變機制或送交事件調查、處理及矯正、預防相關報告或計畫時之罰則規定(草案第二十一條)。十六、於本法適用範圍內,非公務機關無正當理由,規避、妨礙或拒絕中央目的事業主管機關之行政檢查時之罰則(草案第二十二條)。十七、本法施行細則及施行日期授權由行政院定之(草案第二十三條、第二十四條)。
資通安全管理法草案全文(2016年9月23日版)
第一章 總則
第一條 為積極推動國家資通安全政策,加速建構國家資通安全環境,以確保國家安全、民眾福祉,並促進資通安全產業發展,特制定本法。
第二條 本法用詞,定義如下:
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、修改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、公務機關:指依法行使公權力之中央、地方機關(構)或行政法人。
五、非公務機關:指公務機關以外之自然人、公營事業機構、其他法人或團體。
六、關鍵基礎設施:指能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方機關、高科技園區等實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國民生活、經濟活動、公眾安全或國家安全有重大影響之虞。
七、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,並經中央目的事業主管機關指定之非公務機關。
第三條 為提升資通安全,政府應提供資源,整合民間力量,提升全民資通安全意識,並推動下列事項:
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作之推動。
三、資通安全產業之發展及推動。
四、資通安全軟體、設備技術規範、相關服務及審驗機制之發展及推動。
第四條 行政院應擘劃並推動國家資通安全政策、資通安全科技發展、國際交流合作及資通安全整體防護等相關事宜。
第五條 行政院得委任或委託其他公務機關、法人或團體,辦理資通安全科技研發、國際資安政策研析與國際交流合作、公務機關資通安全整體防護之執行及其他相關事務。
第六條 行政院應衡酌公務機關及非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級;其適用對象、分級基準、等級變更申請、義務內容、專職人員之設置及其他相關事項之辦法,由行政院定之。
行政院得查核所屬或監督之公務機關及適用前項辦法之非公務機關之資通安全維護情形。
公務機關及非公務機關受前項之查核,經發現其資通安全有缺失或待改善者,應完成矯正、預防報告或提出矯正、預防計畫,送交上級機關、監督機關或中央目的事業主管機關。
第七條 行政院應建立資通安全情資分享機制。
前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由行政院定之。
第八條 公務機關或非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並就受託者之資通安全維護為監督。
第二章 公務機關資通安全管理
第九條 公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
第十條 公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關工作與事項。
第十一條 公務機關應於年度終了後,就其資通安全維護計畫之實施情形,向上級或監督機關提出報告;無上級機關者,其報告應送交行政院。
第十二條 公務機關應查核其所屬或監督公務機關之資通安全維護計畫實施情形。
受查核機關之資通安全維護計畫實施有缺失或待改善者,應完成矯正、預防報告或提出矯正、預防計畫,送交上級或監督機關。
第十三條 公務機關為因應資通安全事件,應訂定通報及應變機制。
公務機關發生資通安全事件時,除應通報上級或監督機關外,並應通報行政院;無上級機關者,應通報行政院。
公務機關應向上級或監督機關提出資通安全事件調查、處理及矯正、預防情形或計畫之報告,並送交行政院;無上級機關者,其報告應送交行政院。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由行政院定之。
第十四條 公務機關所屬人員對於機關之資通安全維護績效優良者,應予獎勵。
公務機關所屬人員未遵守相關資通安全義務,致國家或社會受有重大損害時,除依法追訴行為人相關法律責任外,並應追究行為人、其服務機關資通安全長及相關人員之行政責任。
前二項獎懲基準及其他相關事項之辦法,由行政院定之。
第三章 非公務機關資通安全管理
第十五條 為確保國民生活、經濟活動、公眾或國家之安全,中央目的事業主管機關應指定關鍵基礎設施提供者,並將其清單報請行政院核定之。
關鍵基礎設施提供者應考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應就其資通安全維護計畫之實施情形,向中央目的事業主管機關提出報告。
中央目的事業主管機關應查核關鍵基礎設施提供者之資通安全維護計畫實施情形。
關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應完成矯正、預防報告或提出矯正、預防計畫,送交中央目的事業主管機關。
第二項至第五項之資通安全維護計畫必要事項、實施報告之提出、查核之頻率、內容與方法、矯正、預防報告或計畫之提出及其他應遵行事項之辦法,由中央目的事業主管機關定之。
第十六條 除前條情形外,適用第六條第一項辦法之非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
中央目的事業主管機關得視公共利益、保護人民生命及財產安全之需要,指定前項以外之非公務機關,就其所提供特定類型或性質之產品或服務,訂定、修正及實施資通安全維護計畫。
中央目的事業主管機關得要求前二項非公務機關,提出資通安全維護計畫實施情形之報告。
中央目的事業主管機關得查核第一項及第二項非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受查核之非公務機關完成矯正、預防報告或提出矯正、預防計畫。
前四項之資通安全維護計畫必要事項、實施報告之提出、查核之頻率、內容與方法、矯正、預防報告或計畫之提出及其他應遵行事項之辦法,由中央目的事業主管機關定之。
第十七條 前二條之非公務機關為因應資通安全事件,應訂定通報及應變機制。
前項之非公務機關於發生資通安全事件時,應向中央目的事業主管機關通報。
第一項之非公務機關,應向中央目的事業主管機關提出資通安全事件調查、處理及矯正、預防情形或矯正、預防計畫之報告;如為重大資通安全事件者,其報告並應送交行政院。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由行政院定之。
發生重大資通安全事件時,行政院或中央目的事業主管機關得公告與事件相關之必要內容及因應措施。
第十八條 中央目的事業主管機關因查核資通安全維護計畫發現重大缺失,或遇重大資通安全事件,而認有必要時,得派員攜帶執行職務證明文件,進入第十五條及第十六條之非公務機關場所檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。
對於前項之檢查,非公務機關及其相關人員無正當理由不得規避、妨礙或拒絕。
中央目的事業主管機關為前項檢查時,得率同司法警察人員、資訊、電信或法律等專業人員共同為之。
參與檢查之人員,對於因檢查而知悉之他人應秘密之資訊,負保密義務。
第四章 罰則
第十九條 非公務機關有下列情形之一者,由中央目的事業主管機關處新臺幣十萬元以上二百萬元以下罰鍰,並令限期改正;屆期未改正者,按次處罰之:
一、違反第十五條第二項規定,未確實訂定、修正或實施資通安全維護計畫。
二、違反第十六條第一項或第二項規定,未確實訂定、修正或實施資通安全維護計畫。
第二十條 非公務機關未依第十七條第二項規定通報資通安全事件者,由中央目的事業主管機關處新臺幣十萬元以上一百萬元以下罰鍰,並令限期改正;屆期未改正者,按次處罰之。
第二十一條 非公務機關有下列情形之一者,由中央目的事業主管機關處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正;屆期未改正者,按次處罰之:
一、未依第十五條第三項或第十六條第三項規定,向中央目的事業主管機關提出資通安全維護計畫實施情形之報告。
二、未依第十五條第五項或第十六條第四項規定,完成矯正、預防報告或提出矯正、預防計畫送交中央目的事業主管機關。
三、未依第十七條第一項規定,訂定資通安全事件之通報及應變機制。
四、違反第十七條第三項規定,未向中央目的事業主管機關提出資通安全事件之調查、處理及矯正、預防報告或計畫,或重大資通安全事件之相關報告或計畫未送交行政院。
第二十二條 非公務機關無正當理由違反第十八條第二項規定者,由中央目的事業主管機關處新臺幣二萬元以上二十萬元以下罰鍰。
第五章 附則
第二十三條 本法施行細則,由行政院定之。
第二十四條 本法施行日期,由行政院定之。
相關報導 資安管理法草案出爐