https://www.informationsecurity.com.tw/Seminar/2024_TCM/
https://www.informationsecurity.com.tw/Seminar/2024_TCM/

新聞

數位部預告修正資安法 公部門禁用危害國家資安產品

2023 / 09 / 25
編輯部
數位部預告修正資安法 公部門禁用危害國家資安產品
數位部預告修正資安法,納管範圍大致不變,增訂政府機關資安人員類一條鞭制度,並明確禁止公部門使用危害國家資通安全產品;另外,各部會可對管理的特定非公務機關重大資安事件進行行政調查,若妨礙或拒絕調查,最高可開罰新台幣100萬元。

根據修正草案總說明,資通安全管理法2018年6月6日制定公布,並在2019年1月1日施行,不曾修正過。因應去年8月數位部成立,掌理國家資通安全業務,並下設資安署,掌理國家資通安全規劃、推動與執行,為了讓資安法規範更符合實務運作,因此提出修正草案,預告60天到11月20日止。

外界先前關注資安法納管範圍是否會擴及一般民間企業,數位部表示,資安法修法並不會管到一般民間企業,資安法適用範圍為政府公部門跟特定非公務機關,整體納管範圍大致不變。

數位部說明,特定非公務機關主要有2類,一類是行政院核定的八大關鍵基礎設施提供者,像是中華電信等,另一類是公營事業或特定財團法人,像是電信技術中心等。如果資安事件涉及個資外洩,會先適用罰則較重的個資法。

5大修法重點

根據預告內容,資安法修法有5大重點:

第一是主管機關調整,讓權責更明確。
資安法主管機關原為行政院,配合組織改造後,主管機關改為數位部,國家資通安全業務則由數位部資安署辦理。

此外,明定由行政院設置國家資通安全會報,把現行國家資通安全會報入法明文化,強化橫向溝通與聯防等。

第二,明確要求公務機關不可採購與使用危害國家資通安全產品。
現行本來就有規範公部門的「各機關對危害國家資通安全產品限制使用原則」,修法把此原則提升到法律位階,也提到公務人員獲配的公務設備,不可以下載、安裝或使用危害國家資通安全產品。

公務機關採購資通訊產品,如果涉及危害國家資安疑慮時,可以向資安署確認。

第三,強化公務機關資安,導入地方聯防、採分層監管模式。
如果受稽核機關的資安維護計畫實施有缺失或需改善,除了向稽核機關提出改善報告外,也要送到資安署,以利資安署掌握全台資安現況。

第四,強化特定非公務機關的資安管理,要求特定非公務機關增設資安長。

此外,為落實特定非公務機關資通安全的維護,各部會可對管理的特定非公務機關,若有重大資安事件可進行行政調查,必要時可公告重大資安事件處理狀況跟內容,如果規避、妨礙或拒絕行政調查,可以開罰10萬到100萬元。

第五,增訂政府機關資安人員類一條鞭制度。
公務機關應符合資通安全責任等級的要求,設置專職資通安全人員。資安署應妥善規劃推動資安人員的職能訓練,如果碰到重大資安事件,資安署可直接調度各級機關資通安全人員來支援。

本文轉載自中央社。