行政院資安處在10月初更新了資通安全管理法草案並上網公開徵集建議,一方面透過「眾開講」平臺來匯集各界建議,另一方面也是要向民眾說明為何政府要在此時推動資安管理法立法、資安專法參考了哪些美、日立法經驗,以及17項資安專法立法重點,資安處說明全文整理如下:
隨著資通科技的蓬勃發展,無線網路、行動裝置、雲端服務與智慧聯網等新興科技之使用,已然是每個人生活中重要的一環,隨之而來的資通安全風險也大幅增加,資通安全也越來越受到重視。
參諸國際近年對於資通安全之保護,已逐漸以訂立專法之方式加以規範,例如:美國的聯邦資訊安全現代化法、網路安全法,日本的網路安全基本法等;在國際組織部分,歐盟近日亦甫通過網絡暨資訊系統安全指令。於我國,在公務機關目前已設有資通安全推動單位與相關遵行規則,包括行政院及所屬機關資訊安全管理要點、行政院及所屬各機關資訊安全管理規範、國家資通安全通報應變作業綱要等,若能進一步透過專法之設立,賦予各機關資通安全維護義務之法律基礎,將更能有效提昇我國公務機關之資通安全能量。
在私部門方面,目前我國雖有得適用於私部門之資通安全相關法制,例如,刑法電腦犯罪章針對電腦犯罪加以處罰、電信法對於通訊環境設備加以管制、個人資料保護法對於個資安全加以保護,及政府資訊公開法規範政府資訊之合理公開等,但各法之訂定目的大相逕庭,切入之角度也各有不同。以風險管理為出發點,針對整體資通環境之法律位階規定則尚待建立。此外,關鍵基礎設施及部分其他非公務機關所提供之產品或服務,涉及國土安全之維護與民眾生活之安全,其資通安全,也應被視為國家安全的一環,這更加深了應以專法加以規定,以進一步健全並強化我國資通安全法制的必要性。
基於上述之理由,我國實需一部針對整體資通環境,以風險管理為核心之資通安全管理專法,來降低並防範相關之資通安全風險,爰擬具「資通安全管理法」(以下簡稱本法)草案。資安處並列出了17項這次立法重點如下:
一、本法之立法目的及用詞定義(草案第一條、第二條)二、政府應整合民間力量推動資通安全相關事項;行政院應擘畫資通安全相關政策,並推動相關事務之執行,於必要時得將部分事務委任或委託其他公務機關、法人或團體辦理之(草案第三條至第五條)。
三、行政院應訂定資通安全責任等級分級辦法,並查核所屬或監督之各級公務機關或適用該辦法之非公務機關之資通安全維護情形;受查核機關應就缺失或待改善事項完成矯正計畫,並將計畫送交予其上級或監督機關或中央目的事業主管機關。(草案第六條)四、行政院應建立資通安全情資分享機制,並就情資之分析、整合與分析之內容、程序、方法及其他事項,訂定相關辦法(草案第七條)。
五、公務機關及非公務機關,於本法適用範圍內,委外辦理資通系統或資通服務事宜時,應就受託者之資通安全維護為監督(草案第八條)。六、公務機關應由其首長指派副首長或適當人選擔任機關之資通安全長,負責推動及監督機關內資通安全相關事項;公務機關並應考量其所屬資通安全責任等級之要求及保有或處理之資訊種類等條件,訂定、修正及實施資通安全維護計畫,且應就計畫之實施情形向上級或監督機關提出報告,無上級機關者,報告應送交行政院(草案第九條至第十一條)。
七、公務機關應查核其所屬或監督機關之資通安全維護計畫實施情形;受查核機關應就缺失或待改善事項完成矯正計畫,並將計畫送交上級或監督機關(草案第十二條)。八、公務機關應訂定資安事件之通報及應變機制,並於事件發生時,依規定向上級機關、監督機關或行政院進行通報;事件後,應分別依規定向上級機關或行政院提出事件之調查、處理及改善報告;通報及應變機制之必要事項、通報之內容、報告之提出及其他相關事項之辦法,由行政院定之。(草案第十三條)。九、公務機關就所屬人員資通安全維護績效應有適當之獎懲,其基準及其他相關事項,由行政院定之(草案第十四條)。
十、中央目的事業主管機關應指定關鍵基礎設施提供者,並報請行政院核定;關鍵基礎設施提供者應訂定、修正、實施資通安全維護計畫,並向中央目的事業主管機關提出計畫之實施情形;如其實施經查核發現缺失,則應將矯正計畫送交中央目的事業主管機關;以上資通安全維護計畫、矯正計畫,及其他相關事項,授權由中央目的事業主管機關定之。(草案第十五條)。
十一、適用資通安全責任等級分級辦法之非公務機關,應訂定、修正、實施資通安全維護計畫,並應中央目的事業主管機關之要求,提出計畫實施情形;如其實施經查核發現缺失,則應依要求將矯正計畫送交中央目的事業主管機關;以上資通安全維護計畫、矯正計畫,及其他相關事項,授權由中央目的事業主管機關定之。(草案第十六條)。
十二、於本法適用範圍內,非公務機關應制定通報及應變機制,並於事件發生時向中央目的事業主管機關進行通報;事件後,並應向中央目的事業主管機關提出事件之調查、處理及改善報告;如為重大資通安全事件時,報告並應送行政院;以上通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由行政院定之。(草案第十七條)。
十三、中央目的事業主管機關因查核資通安全維護計畫發現重大缺失,或遇重大資通安全事件,認有必要時,得進入受查核之非公務機關場所檢查;非公務機關及相關人員不得規避、妨礙或拒絕;參與檢查之人員就因而知悉之他人秘密資訊,應負保密義務。(草案第十八條)
十四、於本法適用範圍內,非公務機關違反本法關於資通安全維護計畫之訂定、修訂及實施規定時之罰則。(草案第十九條)十五、於本法適用範圍內,非公務機關違反本法規定,未進行資安事件通報時之罰則(草案第二十條)。十六、於本法適用範圍內,非公務機關未依本法規定繳交資通安全維護計畫實施情形、矯正計畫、未訂定通報及應變機制或送交事件調查、處理及改善報告時之罰則規定。(草案第二十一條)。於本法適用範圍內,非公務機關無正當理由,規避、妨礙或拒絕中央目的事業主管機關之行政檢查時之罰則。(草案第二十二條)。十七、本法施行細則及施行日期授權由行政院定之(草案第二十三條、第二十四條)。
4張圖快速認識資安法
如何快速認識資通安全法草案的管理規範?可以從管理對象的責任和義務來看。需納入資安法規範的對象,包括了公務機關和非公務機關,非公務機關又可分成兩大類,一是關鍵基礎設施提供者,另一類則是適用資安責任分級的非公務機關,可以用4張圖來示意這3類機關的責任和義務。
資通安全管理法草案全文(2016年10月13日版)
第一章 總則
第一條 為積極推動國家資通安全政策,加速建構國家資通安全環境,帶動資通安全產業發展,以確保國家安全、民眾福祉,特制定本法。
第二條
本法用詞,定義如下:
一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、修改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、公務機關:指依法行使公權力之中央、地方機關(構)或行政法人。
五、非公務機關:指公務機關以外之公營事業機構、其他法人或團體。
六、關鍵基礎設施:指實體或虛擬資產、網路或系統等,其功能一旦停止運作或效能降低,對國民生活、經濟活動、公眾安全或國家安全有重大影響之虞者,其範圍由行政院公告之。
七、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,並經中央目的事業主管機關依第十五條第一項指定,並報行政院核定之非公務機關。
第三條 為提升資通安全,政府應提供資源,整合民間力量,提升全民資通安全意識,並推動下列事項:
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作之推動。
三、資通安全產業之發展及推動。
四、資通安全軟體、設備技術規範、相關服務及審驗機制之發展及推動。
第四條 行政院應擘劃並推動國家資通安全政策、資通安全科技發展、國際交流合作及資通安全整體防護等相關事宜。
第五條 行政院得委任或委託其他公務機關、法人或團體,辦理資通安全整體防護、國際交流合作及其他資通安全相關事務。
第六條 行政院應衡酌公務機關及非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級;其適用對象、分級基準、等級變更申請、義務內容、專職人員之設置及其他相關事項之辦法,由行政院定之。
行政院得查核所屬或監督之公務機關及適用前項辦法之非公務機關之資通安全維護情形。
公務機關及非公務機關受前項之查核,經發現其資通安全有缺失或待改善者,應提出矯正計畫,送交上級機關、監督機關或中央目的事業主管機關。
第七條 行政院應建立資通安全情資分享機制。
前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由行政院定之。
第八條 公務機關或非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。
第二章 公務機關資通安全管理
第九條 公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
第十條 公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關工作與事項。
第十一條 公務機關應於年度終了後,向上級或監督機關提出資通安全維護計畫之實施情形;無上級機關者,其資通安全維護計畫之實施情形應送交行政院。
第十二條 公務機關應查核其所屬或監督公務機關之資通安全維護計畫實施情形。
受查核機關之資通安全維護計畫實施有缺失或待改善者,應提出矯正計畫,送交上級或監督機關。
第十三條 公務機關為因應資通安全事件,應訂定通報及應變機制。
公務機關發生資通安全事件時,除應通報上級或監督機關外,並應通報行政院;無上級機關者,應通報行政院。
公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交行政院;無上級機關者,應送交行政院。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由行政院定之。
第十四條 公務機關所屬人員對於機關之資通安全維護績效優良者,應予獎勵。
公務機關所屬人員未遵守本法相關資通安全義務,致國家或社會受有重大損害時,除依法追訴行為人相關法律責任外,並應追究行為人、其服務機關資通安全長及相關人員之行政責任。
前二項獎懲基準及其他相關事項之辦法,由行政院定之。 :EN-US;mso-fareast-language: ZH-TW;mso-bidi-language:AR-SA'>前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由行政院定之。
第三章 非公務機關資通安全管理
第十五條 為確保國民生活、經濟活動、公眾或國家之安全,中央目的事業主管機關應指定關鍵基礎設施提供者,並報請行政院核定之。
關鍵基礎設施提供者應考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫之實施情形。
中央目的事業主管機關應查核關鍵基礎設施提供者之資通安全維護計畫實施情形。
關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出矯正計畫,送交中央目的事業主管機關。
第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、查核之頻率、內容與方法、矯正計畫之提出及其他應遵行事項之辦法,由中央目的事業主管機關定之。
第十六條 除前條情形外,適用第六條第一項辦法之非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
中央目的事業主管機關得要求前項非公務機關,提出資通安全維護計畫之實施情形。
中央目的事業主管機關得查核第一項非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受查核之非公務機關提出矯正計畫。
前三項之資通安全維護計畫必要事項、實施情形之提出、查核之頻率、內容與方法、矯正計畫之提出及其他應遵行事項之辦法,由中央目的事業主管機關定之。
第十七條 前二條之非公務機關為因應資通安全事件,應訂定通報及應變機制。
前項之非公務機關於發現資通安全事件時,應向中央目的事業主管機關通報。
第一項之非公務機關,應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交行政院。
前三項通報及應變機制之必要事項、通報內容、資通安全事件調查、處理報告、矯正計畫之提出及其他應遵行事項之辦法,由行政院定之。
發現重大資通安全事件時,行政院或中央目的事業主管機關得公告與事件相關之必要內容及因應措施,並得提供相關之協助。
第十八條 中央目的事業主管機關因查核資通安全維護情形發現重大缺失,或遇重大資通安全事件,而認有必要時,得派員攜帶執行職務證明文件,進入第十五條及第十六條之非公務機關場所檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。
對於前項之檢查,非公務機關及其相關人員無正當理由不得規避、妨礙或拒絕。
參與檢查之人員,對於因檢查而知悉之他人應秘密之資訊,負保密義務。
第四章 罰則
第十九條 非公務機關有下列情形之一者,由中央目的事業主管機關限期改正,屆期未改正者,按次處新臺幣十萬元以上二百萬元以下罰鍰:
一、未依第十五條第二項或第十五條第六項授權訂定之辦法,訂定、修正或實施資通安全維護計畫。
二、未依第十六條第一項或第十六條第四項授權訂定之辦法,訂定、修正或實施資通安全維護計畫。
第二十條 非公務機關未依第十七條第二項或第十七條第四項所授權訂定之辦法,於發現資通安全事件時,向中央目的事業主管機關通報,由中央目的事業主管機關處新臺幣十萬元以上一百萬元以下罰鍰,並令限期改正;屆期未改正者,按次處罰之。
第二十一條 非公務機關有下列情形之一者,由中央目的事業主管機關限期改正,屆期未改正者,按次處新臺幣五萬元以上五十萬元以下罰鍰:
一、未依第十五條第三項、第十五條第六項授權訂定之辦法、第十六條第二項或第十六條第四項授權訂定之辦法,向中央目的事業主管機關提出資通安全維護計畫實施之情形。
二、未依第十五條第五項、第十五條第六項授權訂定之辦法、第十六條第三項或第十六條第四項授權訂定之辦法,提出矯正計畫送交中央目的事業主管機關。
三、未依第十七條第一項或第十七條第四項所授權訂定之辦法,訂定資通安全事件之通報及應變機制。
四、未依第十七條第三項或第四項授權訂定之辦法,向中央目的事業主管機關提出資通安全事件之調查、處理及改善報告,或於重大資通安全事件之情形,未將報告送交行政院。
第二十二條 非公務機關無正當理由違反第十八條第二項規定者,由中央目的事業主管機關處新臺幣二萬元以上二十萬元以下罰鍰。
第五章 附則
第二十三條 本法施行細則,由行政院定之。
第二十四條 本法施行日期,由行政院定之。
相關報導 資安管理法草案出爐