離開
進入資安管理法草案 拚月底提報政院院會
目前中央與地方等各級公務機關,面臨資安專責人員嚴重不足的問題,即使是被列為資安等級較高的行政院各部會,大部分資安人力也都是兼職。(美聯社資料照)
〔記者李欣芳/台北報導〕行政院為防止中國等國際駭客網路攻擊,研訂「資通安全管理法草案」,推動國家資通安全法制化,一度因擔心找不到全國各公務機關千餘人專責資安人才、人力無法建置,導致研提草案受阻;如今初步找到解套方式,列為立法院本會期優先法案的「資通安全管理法草案」,將提報本月底行政院院會通過。
據透露,行政院資通安全處規劃至少二個解套方式,包括縮小專責資安人才建置範圍,僅建置在資安防護等級較高的中央部會,而非全國各公務機關,以及資安管理方式的調整,例如為節省人力,以各部會及其所屬機關為一單位建置專責資安人才,一旦發生資安事件時則僅課責到相關部會。
蔡英文政府去年五二○上任後,行政院即著手研訂「資通安全管理法草案」,列為立院上會期優先法案。
資通安全處一開始研擬的草案,因擬授權中央可指定民間業者納入資安查核等規範,引發民間業者侵權的疑慮。後來決定縮小對業者的納管範圍,限定在提供能源、水資源、交通運輸、金融、資通訊、緊急醫療、中央與地方政府及高科技園區等八大關鍵基礎設施的民間業者,才須接受查核。
不過,爭議條文獲解決後,資通安全處處長簡宏偉等人發現一個更大問題,即目前中央與地方等各級公務機關,面臨資安專責人員嚴重不足的問題,即使是被列為資安等級較高的行政院各部會,大部分資安人力也都是兼職,因此必須先找到人力缺口的解套方式,否則「資通安全管理法」即使在立院完成立法,也難以執行。
政院「資通安全管理法草案」明定,行政院應訂定資通安全責任等級分級辦法,查核所屬或監督的各級公務機關,或適用該辦法的非公務機關(僅限關鍵基礎設施的業者)的資通安全維護情形,受查核機關應就缺失或待改善事項完成矯正、預防報告或提出相關計畫。
草案也明定,公務機關為因應資通安全事件,應訂定通報及應變機制。若發生資通安全事件時,除應通報上級或監督機關外,並應通報行政院;無上級機關者,應通報行政院。
相關官員表示,目前專責資安人才缺口的幾個解套方案,將由行政院定奪,由於已有解套方法,因此「資通安全管理法草案」可望趕在本月底前完成審議並提報行政院院會通過,送請立院審議。
