數位部預告修正資安法 公部門禁用危害國家資安產品

數位部預告修正資安法，納管範圍大致不變，增訂政府機關資安人員類一條鞭制度，並明確禁止公部門使用危害國家資通安全產品；另外，各部會可對管理的特定非公務機關重大資安事件進行行政調查，若妨礙或拒絕調查，最高可開罰新台幣100萬元。

根據修正草案總說明，資通安全管理法2018年6月6日制定公布，並在2019年1月1日施行，不曾修正過。因應去年8月數位部成立，掌理國家資通安全業務，並下設資安署，掌理國家資通安全規劃、推動與執行，為了讓資安法規範更符合實務運作，因此提出修正草案，預告60天到11月20日止。

外界先前關注資安法納管範圍是否會擴及一般民間企業，數位部表示，資安法修法並不會管到一般民間企業，資安法適用範圍為政府公部門跟特定非公務機關，整體納管範圍大致不變。

數位部說明，特定非公務機關主要有2類，一類是行政院核定的八大關鍵基礎設施提供者，像是中華電信等，另一類是公營事業或特定財團法人，像是電信技術中心等。如果資安事件涉及個資外洩，會先適用罰則較重的個資法。

5大修法重點

根據預告內容，資安法修法有5大重點：

第一是主管機關調整，讓權責更明確。
資安法主管機關原為行政院，配合組織改造後，主管機關改為數位部，國家資通安全業務則由數位部資安署辦理。

此外，明定由行政院設置國家資通安全會報，把現行國家資通安全會報入法明文化，強化橫向溝通與聯防等。

第二，明確要求公務機關不可採購與使用危害國家資通安全產品。
現行本來就有規範公部門的「各機關對危害國家資通安全產品限制使用原則」，修法把此原則提升到法律位階，也提到公務人員獲配的公務設備，不可以下載、安裝或使用危害國家資通安全產品。

公務機關採購資通訊產品，如果涉及危害國家資安疑慮時，可以向資安署確認。

第三，強化公務機關資安，導入地方聯防、採分層監管模式。
如果受稽核機關的資安維護計畫實施有缺失或需改善，除了向稽核機關提出改善報告外，也要送到資安署，以利資安署掌握全台資安現況。

第四，強化特定非公務機關的資安管理，要求特定非公務機關增設資安長。

此外，為落實特定非公務機關資通安全的維護，各部會可對管理的特定非公務機關，若有重大資安事件可進行行政調查，必要時可公告重大資安事件處理狀況跟內容，如果規避、妨礙或拒絕行政調查，可以開罰10萬到100萬元。

第五，增訂政府機關資安人員類一條鞭制度。
公務機關應符合資通安全責任等級的要求，設置專職資通安全人員。資安署應妥善規劃推動資安人員的職能訓練，如果碰到重大資安事件，資安署可直接調度各級機關資通安全人員來支援。

本文轉載自中央社。