離開
進入資安管理法草案 政院縮小納管範圍
為強化國家資安,行政院研訂「資通安全管理法草案」,對於資通安全維護績效優良的公務機關應予獎勵。(法新社/情境照)
〔記者李欣芳/台北報導〕為強化國家資安,行政院研訂中的「資通安全管理法草案」,原擬授權中央可指定民間業者納入查核等規範,因引發侵權疑慮,政院決定縮小對業者的納管範圍,限定提供能源、水資源、交通運輸、金融、資通訊、緊急醫療、中央與地方政府及高科技園區等關鍵基礎設施的民間業者,才須接受查核。
草案明訂,公務機關要訂定資通安全的維護計畫並進行資安事件的通報,對於資通安全維護績效優良的公務機關應予獎勵,但公務機關所屬人員未遵守相關資通安全義務,導致國家或社會受有重大損害時,除將依法追訴外,並將追究其行政責任。
資安風險評估準則 政院將統一訂定
政院官員透露,未來由行政院統一訂定資安風險評估準則,供公務機關決定哪些所屬公務機構或哪些關鍵基礎設施提供者應納入風險評估的範疇,以讓公務機關有客觀、一致的評估標準。
不過,草案明訂,關鍵基礎設施提供者若未確實訂定、修正或實施資通安全維護計畫,可處十萬元以上二百萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之;換句話說,最高可對業者罰二百萬元。
至於關鍵基礎設施提供者如發生資通安全事件,應依相關規定進行通報,如未依規定通報,可處以十萬元以上一百萬元以下的罰鍰,並令限期改正;屆期未改正者,按次處罰之。
據了解,行政院在徵詢專家與民間業者時,有關對民間的罰則,各界看法不一,學者傾向從嚴,業者則盼儘量降低罰則,對於關鍵基礎設施提供者若未確實訂定資通安全維護計畫,政院初步決定採納學者建議,最高罰鍰仍訂為二百萬元。
不過,政院官員說,這項立法是以風險管理為核心,重點不在罰則,且屬於上述情節重大者才罰二百萬元,至於若有業者因不知自己的資安系統遭入侵而未通報資安事件,非故意者也不罰,新修正的草案規範的民間業者,僅針對關鍵基礎設施提供者,不會有民間業者包山包海都納入管理的問題。
