政院資安管理法草案出爐 公務員未做好防護將懲處
為防止中國等國際駭客網路攻擊,行政院研擬的「資通安全管理法草案」已出爐。(法新社情境照)
〔記者李欣芳/台北報導〕為建構國家完善的資通安全法制,防止中國等國際駭客網路攻擊,行政院研擬的「資通安全管理法草案」已出爐。草案規範公務機關推動資安的防護及查核所屬機關的資安防護,並導入風險管理,公務員若未明訂資安防護計畫、就資安事件應通報而未通報、應演練而未演練、經查核未做好資安防護後仍未改善等,將予以記過等行政處分。
草案不僅規範政府機關如何防範資安,並規範能源、水資源、交通運輸、金融、資通訊、緊急醫療、中央與地方政府、高科技園區等八大關鍵基礎設施的民間業者也要做好資安防護,若業者未能訂定資安防護計畫,或者應通報的資安事件而未通報,政府擬對業者開罰。
由於涉及民間業者的相關規範與權益,民間業者擔心徒增困擾而有疑慮,政院將進一步整合。
行政院在八月一日成立「資通安全處」,並積極推動「資通安全管理法」的立法,列為立法院本會期的優先法案,目前規劃下個月提報行政院院會通過。
「資通安全管理法草案」共計廿四條條文,為求周延起見,行政院已陸續舉辦過政府機關、民間業者與學者專家的三場座談會,目前規劃至少辦五場座談會整合各界意見後,再提報院會通過,進一步送立法院審議。
草案明訂四個安全等級
草案也明訂資安事件分四個安全等級,並分等級通報。機關若遭駭客攻擊,第一、第二級屬於情節較為輕微者,只要呈報到部會次長層級即可,至於情節屬於第三、第四級較為嚴重者,就會向上呈報行政院,當國家關鍵基礎建設遭到全面攻擊時,屬於第四級最嚴重的資安事件,政府與國安高層也將緊急介入處理。
相關官員表示,未來也將另訂詳細資安責任等級分級辦法,明訂何種等級的資安事件該做哪些事,使公務機關將有標準的SOP作業程序。
草案也明訂公務機關對資通安全的維護與獎懲規定。不過,官員說,立法主要是為建立資通安全防護機制,而非側重罰則,並導入風險管理,使資安的相關法制更健全。