政院通過資安法修正 強化公務機關安全防護
行政院4日通過《資通安全管理法》(下稱《資安法》)修法,增訂資安署得審核納管機關之資通安全維護計畫實施情形,還有增加禁止危害國家資通安全產品有關下載、安裝或使用之相關規範,政府各機關也都要設資安長。數位部也表示,會公布稽核各機關的資安結果。
尚未納入民間企業 確定各機關權責
此次修法納管範圍大致不變,適用範圍為政府公部門跟特定非公務機關,未納入一般民間企業。資安署指出,此次修法重點包括,明定本法主管機關及各機關權責;強化納管機關資通安全管理,包含擴大稽核範圍,增訂資安署得定期或不定期稽核納管機關之資通安全維護計畫實施情形,並增訂納管機關對於危害國家資通安全產品有關下載、安裝或使用之相關規範;增訂應符合資通安全責任等級之要求設置資通安全專職人員、強化並提升資通安全;增訂中央目的事業主管機關對特定非公務機關重大資通安全事件之調查權限等。
數位發展部資安署副署長鄭欣明表示,未來修法將確定資通安全署辦理國家資安業務,但各公務機關須監管所屬、所監督、所轄、所管機關之資安管理,特定非公務機關(例如有被列入關鍵基礎設施的民間廠商等)則要落實資安法遵義務。
限制產品使用部分,公務機關提供公眾視聽或使用之傳播設備及網際網路接取服務,還有公務人員獲配之公務用資通訊設備不得下載、安裝或使用;非特定公務機關則於維護資通安全之必要時,中央目的事業主管機關,得予以限制或禁止相關產品。
修法後,資安署得稽核所有納管機關的資安狀況,並對涉及國家機密、軍事機密及國防秘密之資通安全業務人員進行相關查核;非公務機關則要應設置專職人員及資安長。
資安人員短缺 單位間需加強合作
被問到非特定公務機關的範圍,數位部次長闕河鳴表示,竹科園區是公務機關,但內部的一般公司(特定非公務機關)需要在行政院被列為關鍵基礎設施。記者質疑,未來是否會公布納管機關的稽核結果,資安署署長謝翠娟表示,會公布稽核結果在網站,同時送立法院審核。
被問到對於重大資通安全事件的定義與適任性查核並不清楚,謝翠娟說明,會影響超過一個縣市,或是範圍過大對民眾權益影響甚深者,都算重大事件,而由於各地資安人員仍短缺,修法會建立聯防機制,讓各單位可以加速互相協助。
(圖片來源:行政院)