2024年7月4日(四)上午12:45
行政院會4日通過數位發展部所擬具的「資通安全管理法」修正草案,該草案修正重點,除明定主管機關及機關權責、未來特定特定非公務機關也將要設置資安長、增訂特定非公務機關對所屬人員辦理資通安全業務之獎勵及懲處等。
資安署指出,此次修法重點包括,明定本法主管機關及各機關權責;強化納管機關資通安全管理,包含擴大稽核範圍,增訂資安署得定期或不定期稽核納管機關之資通安全維護計畫實施情形,並增訂納管機關對於危害國家資通安全產品有關下載、安裝或使用之相關規範;增訂應符合資通安全責任等級之要求設置資通安全專職人員、強化並提升資通安全;增訂中央目的事業主管機關對特定非公務機關重大資通安全事件之調查權限等。
資安署副署長鄭欣明說明,在資安法修法後,將明訂行政院會決定我國的整體資安策略,數發部則會成為此法的主管機關,推動國家相關資安政策,資安署則會配合數發部推動國家相關的資安業務,透過三個角色的定位後,就能落實公務機關及特定非公務機關的資安法遵義務。
鄭欣明說,針對新興攻擊的部分,也把危害國家資通安全產品訂出明確規範。另外也針對無上級機關的公務機關,例如總統府、五院、地方縣市政府等,現行法規是沒有外部稽核機制,也就是沒辦法加入資安聯防,未來修正後,資安署就可透過擴大稽核範圍,可稽核所有的機關,這些無上級機關的公務機關也可由資安署來稽核,擴大聯防機制。
此外,原本只有在公務機關明定設置要設置資安長,待草案修正過後,未來特定非公務機關也將要設置資安長,也會增訂特定非公務機關對所屬人員辦理資通安全業務之獎勵及懲處。
至於特定非公務機關的範圍,數發部次長闕河鳴說明,基本上關鍵基礎設施都是包含在特定非公務機關的範圍中,舉例來說像是新竹科學園區就屬於關鍵基礎設施,不過在科學園區中的企業,他們自己的私領域則不在此範疇,簡單來說,一般公司、財團法人等都是要被行政院列為關鍵基礎設施才會被列為特定非公務機關的範圍中。
資安署強調,面對複雜多變之資安攻擊型態,國內資通安全環境越趨嚴峻,這次修法透過明定權責、強化納管機關資通安全管理、增訂資通安全人員職能訓練及調度支援,以及配合實務運作調整法條文字等,持續完善我國資通安全法制規範,期盼透過本次修法,強化我國資通安全防護體系、健全資通安全環境。
資料來源:經濟日報
https://search.app/rrtPq7UpEJWm5SgE8
發布單位:財團法人台灣雜糧發展基金會
