延宕许久的《资通安全管理法草案》,是民进党团列为优先的法案之一,在5月11日召开的立法院院会中,依照民进党送进委员会的资通安全法草案版本进行审查,顺利完成三审程序。
一般而言,立法院完成三审的条文,会在一个月内送交总统宣读,之后就正式实施。而根据《资通安全管理法》第23条规定,正式施行日期将由资安主管机关行政院另外订定公布。
目前,行政院资安处也与法规会确认,总统公布后6个月内就会正式施行,而第一阶段适用的公务机关,就只有半年的准备期。假设母法在6月1日公布,最迟12月1日实施,公务机关也将在12月1日开始适用。
行政院资安处处长简宏伟指出,在2017年4月27日,行政院院会已经通过行政院版的《资通安全管理法草案》,并于5月进到立法院完成一读程序,而迄今一年的时间,之所以能够顺利完成三审程序,也是因为各界对于资安的重要性都有共识,加上《资通安全管理法》已经是国家发展资安重要的法规基础,主管机关更可以因此规范攸关民众权益的关键基础设施业者,要求他们具有足够的资安防护水准,“《资通安全管理法》是台湾资安发展重要的里程碑。”简宏伟说。
资安法公布实施后,关键基础设施业者将一年后适用该法规范
简宏伟强调,《资通安全管理法》立法通过后,三种机关类别将分梯次适用该法的规范。首先,包括中央政府和地方政府的公务机关,是最先适用资安管理法的规范,适用日期将订在该法通过后的6个月生效;其他提供关键基础设施服务的产业业者,则是在该法通过后的12个月才开始适用资安管理法。
至于其他非关键基础设施提供者的公营事业,或者是政府捐助达一定比例的财团法人,则在资安法最后一波的适用对象,在立法通过后的18个月才生效;他指出,资安处也会在资安法通过后的24个月后,搜集资安法适用过程中的所有状况,并会再进行全盘的检讨。
他提到,行政院资安处将依法继续制定相关的《资通安全管理法施行细则》、《资通安全责任等级分级办法》、《资通安全情报分享办法》、《资通安全事件通报及应变办法》、《特定非公务机关资通安全维护计划》以及《公务机关所属人员办理资通安全业务奖惩办法》,同时,持续对外界说明和沟通《资通安全管理法》,也是资安处重要的责任之一。
删除行政检查条款,对遭骇不通报者进行重罚立法院这次通过的《资通安全管理法》中,主要是依据民进党之前进行委员会审查的版本进行审查,首先是删除原先第18条“行政检查权”条文,行政机关将无法到受骇的关键基础设施业者场域,进行资安事件调查或是预防资安事件扩大,当中更明定,资安法的主管机关就是行政院,同时在条文里面,规范应该如何指定关键基础设施的程序。
政府目前规定有八大关键基础设施,包括:政府机关、电厂、金融业、水公司和交通设施,而根据新版《资通安全管理法》规定,未来,将由中央目的事业主管机关,征询产官学研各方意见后,才可以指定关键基础设施业者,相关名单除了要报请主管机关核定,也必须以书面通知受核定单位。至于,原先在委员会条文中,希望可以将核定名单送到立法院备查一事,则予以取消。
为了促使受骇的特定非公务机关发生重大资安事件时,应该主动向中央目的事业主管机关进行通报,避免知情不报的状况发生,在《资通安全管理法》第21条中规定,除了维持原先没有落实资通安全维护计划,相关单位会被处罚10万到100万元外,对于资安事件知情不报者,更采取加重处罚的手段,罚款从原先的10万到100万元,提高到30万到500万元不等,并规定限期改正。
另外,民进党立委余宛如也提醒,国家的资通安全,不能只单靠一部《资通安全管理法》,需要通过一套完整系统,涵盖范围从标准到人才养成,以及资安观念的提升,才能真正提升国家的资安环境。她也说,目前的通过的法案版本是各方妥协下的产物,行政院资安处也应该继续持续对外沟通,消除各界对资安法的疑虑与不了解。
全球资安法制的发展?
2012年10月1日?台湾? 新版个人资料保护法正式上路个人资料保护法是由“电脑处理个人资料保护法”修法而来,2010年时修正为个人资料保护法。
?
2013年11月15日马来西亚个人资料保护法正式施行是东协十国中首个实施相关法规的国家。
?
2014年美国公布更新版美国联邦资讯安全现代化法这是继2002年FISMA实作计划开始后的重大修订。
?
2014年11月日本国会通过网络资讯安全基本法这是继2001年1月公布实施IT基本法后的新资安管理法。
?
2015年5月21日?台湾? 资通安全管理法草案提出由行政院资通安全办公室召开资通安全管理法草案专家座谈会。
?
2015年7月德国联邦议会通过资讯科技安全法由多部法律之修正条文结合而成,主要针对关键基础设施资讯安全,及保护公民的网络安全。
?
2015年12月18日美国国会通过更新版网络安全法安全资讯分享法的修正案,目标建立一个网络安全资讯的分享框架,以获得早期预警。
?
2016年3月15日?台湾? 个人资料保护法修正案开始施行个资法实施3年后,为了让个资法的施行,更能符合社会现况,修正原先窒碍难行的法条规范。
?
2016年4月27日欧洲议会通过欧盟通用资料保护规则(GDPR)在欧盟制订个人资料保护纲领后,所要推动的新法。
?
2016年8月1日?台湾? 行政院资通安全处成立取代资通安全办公室,层级提升,成为政院资安专责机构,首任处长为简宏伟。
?
2016年8月8日欧盟通过网络及资讯系统的安全准则欧盟首个网络安全法令,对于境内关键基础建设与数位服务提供者,在资讯交换和共通安全要求上,有基本规画和执行能力。
?
2016年8月31日?台湾? 行政院资安处完成资安管理法草案初稿后续举办6场法案座谈会,并上网征求全民意见。
?
2016年11月7日中国通过中华人民共和国网络安全法将散落在各种规章的网络安全规范,通过立法的方式,确保网络空间的自主权利。
?
2017年4月27日?台湾? 行政院版资通安全管理法草案通过将送请立法院审议。
?
2017年5月30日日本政府个资法修正案开始施行修正重点包含强化个资保护规范内容,以强化2005年4月施行的日本个资法。
?
2017年6月1日中国网络安全法正式上路将网络空间视为主权的延伸,具有完全的控管权利,如同领海、领土和领空。
?
2017年7月新加坡政府公布网络安全法规之草案新安全法规旨在维护关键基础设施,保障国家网络安全。
?
2017年9月4日英国政府公布新资料保护法草案取代1998年的旧版资料保护法,并避免与欧盟GDPR存在太多差异,而造成混淆。
?
2017年11月6日?台湾? 立法院司法及法制委员会审查资通安全管理法草案针对6个资安管理法草案版本进行公开询答,从各方反应的意见与讨论,加速法案的审查进度。
?
2018年5月11日?台湾? 资通安全管理法完成立法院三审经三审程序后,预计六月中旬总统正式公布,才能生效施行,而正式施行日期由行政院另定。
?
2018年5月25日欧盟GDPR正式实施是近年来影响全球资料保护作为最大的法规。
?
资料来源:iThome整理,2018年5月
iThome△Security
I 相关 / Other
国内第一套公用的Peta级超级电脑,以台湾特有物种“台湾杉”命名。(摄影/罗正汉) 国网中心新造超级电脑“台湾杉”上线,提供Peta级高运算量国网中心在科技部支持下,斥资4.3亿元打造的新一代超级电脑,以台湾特
【2018台湾云端大会直击】HITCON CTF骇客竞赛负责人剖析:不是删帐号或挡应用,脸书事件该注意的事跟你想的不一样
HITCON△CTF骇客竞赛负责人李伦铨。 图片来源: iThome 剑桥分析违法滥用脸书8700万笔用户资料,试图用广告在美国总统大选中影响选民立场,引起全球关注,更让脸书因涉及资料外泄而遭讨伐,剑桥分析更因此而宣布破产
台湾第一个区块链支付,台北富邦银行在政大校园商家成立区块链支付示范区
图片来源: 摄影 / 洪政伟 台北富邦银行13日宣布,在政治大学推出区块链支付应用场景,想要参与体验的政大师生,可下载富邦移动银行App,使用“Lucky△Pay”扫描政大附近合作商家的QR△Code后,即可完成付费。此举让台
台湾HITCON再度入围全球骇客攻防大赛DEF CON CTF决赛,8月于美国再战全球
DEF△CON△CTF最新主办单位OOO于日前举办今年8月举办DEF△CON△CTF的预赛,台湾HITCON战队众望所归,顺利取得决赛资格,但台湾有机会有第二队队武打入决赛,名单预计一周内公布。 图片来源: OOO提供 台湾HITCON战队
台湾新兴区块链服务商出现,BiiLabs主推分散式帐本技术IOTA专攻物联网应用
分散式帐本技术新创BiiLabs执行长暨共同创办人朱宜振。 图片来源: 摄影 / 李静宜 “区块链技术不只是比特币、以太坊的代名词,其分散式帐本技术(Distributed△Ledger△Technology,DLT)更能在许多应用场域出现,