政院通過「資通安全管理法」修正草案 強化國家整體資通安全法律規範、促進政府跨機關合作及區域聯防

為強化國家整體資通安全法律規範，促進政府跨機關的合作及區域聯防，有效落實納管機關及關鍵基礎設施的資安管理及防護，並推動資安人員培力機制，行政院會今（4）日通過數位發展部擬具的「資通安全管理法」修正草案，將函送立法院審議。行政院長卓榮泰表示，在萬物聯網、智慧生活的時代，資安就是國安，更是確保民眾個資安全，推動民生經濟發展不可或缺的要素。院長提到，臺灣是遭受境外網路攻擊、全球資安攻防的一級戰區，為因應不斷升級進化的資安威脅及數位發展部的成立，「資通安全管理法」修正草案將進一步強化國家整體資通安全法律規範，明確化法律位階，促進政府跨機關的合作及區域聯防，有效落實納管機關及關鍵基礎設施的資安管理及防護，並推動資安人員培力機制，解決實務執行落差，請相關部會配合本次修法積極辦理。卓院長指出，本案送請立法院審議後，請數位發展部積極與立法院朝野各黨團溝通協調，早日完成修法程序，以符合社會各界的期待。數位發展部表示，此次修法包含四大方向，第一，明定本法主管機關及各機關權責。第二，強化納管機關資通安全管理，包含擴大稽核範圍，增訂資通安全署得定期或不定期稽核納管機關之資通安全維護計畫實施情形，並增訂納管機關對於危害國家資通安全產品有關下載、安裝或使用之相關規範。第三，增訂應符合資通安全責任等級之要求設置資通安全專職人員、強化並提升資通安全人員之專業知能及重大資通安全事件之調度支援等規定。第四，增訂中央目的事業主管機關對特定非公務機關重大資通安全事件之調查權限。本草案修正要點如下：一、修正本法之主管機關為數位部，並明定國家資通安全業務由資安署辦理。（修正條文第2條）二、修正資通安全、資通安全事件、特定非公務機關、關鍵基礎設施、特定關鍵基礎設施提供者及特定財團法人之定義。（修正條文第3條）三、為建構我國資通安全整體環境，協調各政府機關、中央及地方間資通安全相關事務，健全我國整體資通安全管理，強化橫向溝通聯繫機制，將現行國家資通安全會報入法明文化。（修正條文第5條）四、擴大稽核範圍，增訂資安署得定期或不定期稽核公務機關及特定非公務機關之資通安全維護計畫實施情形。（修正條文第8條）五、強化各機關落實委外辦理資通系統建置、維運、服務提供之監督管理機制。（修正條文第10條）六、增訂公務機關及特定非公務機關對於危害國家資通安全產品有關下載、安裝或使用之相關規定。（修正條文第11條及第27條）七、修正公務機關資通安全維護計畫實施情形之收受機關及稽核機關。（修正條文第14條及第15條）八、增訂公務機關之稽核發現有缺失時，稽核結果及改善報告之收受機關，以及該等機關得要求受稽核機關進行說明或調整之規定。（修正條文第16條）九、定明公務機關及特定非公務機關應配合辦理資通安全事件及應變機制之演練作業授權項目。（修正條文第17條及第24條）十、增訂強化資通安全人員專業知能及重大資通安全事件之調度支援等規定。（修正條文第18條）十一、增訂對資通安全專職人員、資通安全人員任用考試錄取人員之適任性查核相關規定。（修正條文第19條）十二、增訂中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署之規定。（修正條文第20條及第21條）十三、增訂特定非公務機關應置資通安全長及應符合資通安全責任等級之要求設置專職人員。（修正條文第20條、第21條及第23條）十四、為強化特定非公務機關重大資通安全事件應處，增訂中央目的事業主管機關行政調查之權限，受調查者不得規避、妨害或拒絕，並明定相關罰則，以精進資通安全風險管理。（修正條文第25條及第31條）十五、增訂特定非公務機關對所屬人員辦理資通安全業務之獎勵及懲處。（修正條文第26條及第28條）十六、增訂資安署辦理本法所定事項委託之依據，定明受委託者之保密義務，並增訂主管機關協調指定中央目的事業主管機關之權責。（修正條文第32條）十七、增訂資通安全事件如涉個人資料外洩，應另依個人資料保護法及其相關法令規定辦理。（修正條文第33條）