【资通安全管理法草案整体架构】本法以资通安全管理为核心,分为5个章节,计24条。资料来源:行政院资安处,2016年9月23日草案版本
行政院资安处在9月底上网公开了资通安全管理法草案时,一方面汇集各界建议,另一方面也是要向民众说明立法缘由,资安处说明整理如下:
参诸国际近年对于资通安全之保护,已逐渐以订立专法之方式加以规範,例如:美国的联邦资讯安全现代化法、网路安全法,日本的网路安全基本法等,欧盟近日亦甫通过网络暨资讯系统安全指令。我国在公务机关目前已设有资通安全推动单位与相关遵行规则,包括行政院及所属机关资讯安全管理要点、行政院及所属各机关资讯安全管理规範、国家资通安全通报应变作业纲要等,若能进一步透过专法之设立,赋予各机关资通安全维护义务之法律基础,将更能有效提昇我国公务机关之资通安全能量。
在私部门方面,目前我国虽有得适用于私部门之资通安全相关法制,例如,刑法电脑犯罪章针对电脑犯罪加以处罚、电信法对于通讯环境设备加以管制、个人资料保护法对于个资安全加以保护,及政府资讯公开法规範政府资讯之合理公开等,但各法之订定目的大相逕庭,切入之角度也各有不同。以风险管理为出发点,针对整体资通环境之法律位阶规定则尚待建立。此外,关键基础设施及部分其他非公务机关所提供之产品或服务,涉及国土安全之维护与民众生活之安全,其资通安全,也应被视为国家安全的一环,这更加深了应以专法加以规定,以进一步健全并强化我国资通安全法制的必要性。
基于上述之理由,我国实需一部针对整体资通环境,以风险管理为核心之资通安全管理专法,来降低并防範相关之资通安全风险。资安处并列出了这次立法17项重点如下:
一、本法之立法目的及用词定义(草案第一条、第二条)二、政府应整合民间力量推动资通安全相关事项;行政院应擘划资通安全相关政策,并推动相关事务之执行,于必要时得将部分事务委任或委託其他公务机关、法人或团体办理之(草案第三条至第五条)。
三、行政院应订定资通安全责任等级分级办法,并查核所属或监督之各级公务机关或适用该办法之非公务机关之资通安全维护情形;受查核机关应就缺失或待改善事项完成矫正、预防报告或提出相关计画,并将报告或计画送交予其上级或监督机关或中央目的事业主管机关(草案第六条)。四、行政院应建立资通安全情资分享机制,并就情资之分析、整合与分析之内容、程序、方法及其他事项,订定相关办法(草案第七条)。
五、公务机关及非公务机关,于本法适用範围内,委外办理资通系统或资通服务事宜时,应就受託者之资通安全维护为监督(草案第八条)。六、公务机关应由其首长指派副首长或适当人选担任机关之资通安全长,负责推动及监督机关内资通安全相关事项;公务机关并应考量其所属资通安全责任等级之要求及保有或处理之资讯种类等条件,订定、修正及实施资通安全维护计画,且应就计画之实施情形向上级或监督机关提出报告,无上级机关者,报告应送交行政院(草案第九条至第十一条)。
七、公务机关应查核其所属或监督机关之资通安全维护计画实施情形;受查核机关应就缺失或待改善事项完成矫正、预防报告或提出相关计画,并将报告或计画送交上级或监督机关(草案第十二条)。八、公务机关应订定资安事件之通报及应变机制,并于事件发生时,依规定向上级机关、监督机关或行政院进行通报;事件后,应分别依规定向上级机关或行政院提出事件之调查、处理及矫正、预防情形或相关计画之报告;通报及应变机制之必要事项、通报之内容、报告之提出及其他相关事项之办法,由行政院定之(草案第十三条)。九、公务机关就所属人员资通安全维护绩效应有适当之奖惩,其基準及其他相关事项,由行政院定之(草案第十四条)。
十、中央目的事业主管机关应提出关键基础设施提供者清单,并报请行政院核定;关键基础设施提供者应订定、修正、实施资通安全维护计画,并向中央目的事业主管机关就计画之实施情形提出报告;如其实施经查核发现缺失,则应将矫正、预防报告或相关计画送交中央目的事业主管机关;以上资通安全维护计画、矫正、预防报告或计画,及其他相关事项,授权由中央目的事业主管机关定之(草案第十五条)。
十一、除关键基础设施提供者外,适用资通安全责任等级分级办法之非公务机关,及受中央目的事业主管机关指定之非公务机关,应订定、修正、实施资通安全维护计画,并应中央目的事业主管机关之要求,提出计画实施情形报告;如其实施经查核发现缺失,则应依要求将矫正、预防报告或相关计画送交中央目的事业主管机关;以上资通安全维护计画、矫正、预防报告或计画,及其他相关事项,授权由中央目的事业主管机关定之(草案第十六条)。
十二、于本法适用範围内,非公务机关应制定通报及应变机制,并于事件发生时向中央目的事业主管机关进行通报;事件后,并应向中央目的事业主管机关提出事件之调查、处理及矫正、预防或相关计画之报告;如为重大资通安全事件时,报告并应送行政院;以上通报及应变机制之必要事项、通报内容、报告之提出及其他应遵行事项之办法,由行政院定之(草案第十七条)。
十三、中央目的事业主管机关因查核资通安全维护计画发现重大缺失,或遇重大资通安全事件,认有必要时,得率同资讯、法律等专业人员进入受查核之非公务机关场所检查;非公务机关及相关人员不得规避、妨碍或拒绝;参与检查之人员就因而知悉之他人秘密资讯,应负保密义务(草案第十八条)。
十四、于本法适用範围内,非公务机关违反本法关于资通安全维护计画之订定、修订及实施规定时之罚则(草案第十九条)十五、于本法适用範围内,非公务机关违反本法规定,未进行资安事件通报时之罚则(草案第二十条)。十六、于本法适用範围内,非公务机关未依本法规定缴交资通安全维护计画实施情形报告、矫正或预防相关报告、未订定通报及应变机制或送交事件调查、处理及矫正、预防相关报告或计画时之罚则规定(草案第二十一条)。十六、于本法适用範围内,非公务机关无正当理由,规避、妨碍或拒绝中央目的事业主管机关之行政检查时之罚则(草案第二十二条)。十七、本法施行细则及施行日期授权由行政院定之(草案第二十三条、第二十四条)。
?
资通安全管理法草案全文(2016年9月23日版)
第一章 总则
?第一条 为积极推动国家资通安全政策,加速建构国家资通安全环境,以确保国家安全、民众福祉,并促进资通安全产业发展,特制定本法。
?第二条 本法用词,定义如下:
一、资通系统:指用以蒐集、控制、传输、储存、流通、删除资讯或对资讯为其他处理、使用或分享之系统。
二、资通服务:指与资讯之蒐集、控制、传输、储存、流通、删除、其他处理、使用或分享相关之服务。
三、资通安全:指防止资通系统或资讯遭受未经授权之存取、使用、控制、洩漏、破坏、修改、销毁或其他侵害,以确保其机密性、完整性及可用性。
四、公务机关:指依法行使公权力之中央、地方机关(构)或行政法人。
五、非公务机关:指公务机关以外之自然人、公营事业机构、其他法人或团体。
六、关键基础设施:指能源、水资源、通讯传播、交通、银行与金融、紧急救援与医院、中央与地方机关、高科技园区等实体或虚拟资产、系统或网路,其功能一旦停止运作或效能降低,对国民生活、经济活动、公众安全或国家安全有重大影响之虞。
七、关键基础设施提供者:指维运或提供关键基础设施之全部或一部,并经中央目的事业主管机关指定之非公务机关。
?第三条 为提升资通安全,政府应提供资源,整合民间力量,提升全民资通安全意识,并推动下列事项:
一、资通安全专业人才之培育。
二、资通安全科技之研发、整合、应用、产学合作及国际交流合作之推动。
三、资通安全产业之发展及推动。
四、资通安全软体、设备技术规範、相关服务及审验机制之发展及推动。
?第四条 行政院应擘划并推动国家资通安全政策、资通安全科技发展、国际交流合作及资通安全整体防护等相关事宜。
?第五条 行政院得委任或委託其他公务机关、法人或团体,办理资通安全科技研发、国际资安政策研析与国际交流合作、公务机关资通安全整体防护之执行及其他相关事务。
?第六条 行政院应衡酌公务机关及非公务机关业务之重要性与机敏性、机关层级、保有或处理之资讯种类、数量、性质、资通系统之规模及性质等条件,订定资通安全责任等级之分级;其适用对象、分级基準、等级变更申请、义务内容、专职人员之设置及其他相关事项之办法,由行政院定之。
行政院得查核所属或监督之公务机关及适用前项办法之非公务机关之资通安全维护情形。
公务机关及非公务机关受前项之查核,经发现其资通安全有缺失或待改善者,应完成矫正、预防报告或提出矫正、预防计画,送交上级机关、监督机关或中央目的事业主管机关。
?第七条 行政院应建立资通安全情资分享机制。
前项资通安全情资之分析、整合与分享之内容、程序、方法及其他相关事项之办法,由行政院定之。
?第八条 公务机关或非公务机关,于本法适用範围内,委外办理资通系统之建置、维运或资通服务之提供,应考量受託者之专业能力与经验、委外项目之性质及资通安全需求,选任适当之受託者,并就受託者之资通安全维护为监督。
第二章 公务机关资通安全管理
?第九条 公务机关应符合其所属资通安全责任等级之要求,并考量其所保有或处理之资讯种类、数量、性质、资通系统之规模与性质等条件,订定、修正及实施资通安全维护计画。
?第十条 公务机关应置资通安全长,由机关首长指派副首长或适当人员兼任,负责推动及监督机关内资通安全相关工作与事项。
?第十一条 公务机关应于年度终了后,就其资通安全维护计画之实施情形,向上级或监督机关提出报告;无上级机关者,其报告应送交行政院。
?第十二条 公务机关应查核其所属或监督公务机关之资通安全维护计画实施情形。
受查核机关之资通安全维护计画实施有缺失或待改善者,应完成矫正、预防报告或提出矫正、预防计画,送交上级或监督机关。
?第十三条 公务机关为因应资通安全事件,应订定通报及应变机制。
公务机关发生资通安全事件时,除应通报上级或监督机关外,并应通报行政院;无上级机关者,应通报行政院。
公务机关应向上级或监督机关提出资通安全事件调查、处理及矫正、预防情形或计画之报告,并送交行政院;无上级机关者,其报告应送交行政院。
前三项通报及应变机制之必要事项、通报内容、报告之提出及其他相关事项之办法,由行政院定之。
?第十四条 公务机关所属人员对于机关之资通安全维护绩效优良者,应予奖励。
公务机关所属人员未遵守相关资通安全义务,致国家或社会受有重大损害时,除依法追诉行为人相关法律责任外,并应追究行为人、其服务机关资通安全长及相关人员之行政责任。
前二项奖惩基準及其他相关事项之办法,由行政院定之。
第三章 非公务机关资通安全管理
?第十五条 为确保国民生活、经济活动、公众或国家之安全,中央目的事业主管机关应指定关键基础设施提供者,并将其清单报请行政院核定之。
关键基础设施提供者应考量其所保有或处理之资讯种类、数量、性质、资通系统之规模与性质等条件,订定、修正及实施资通安全维护计画。
关键基础设施提供者应就其资通安全维护计画之实施情形,向中央目的事业主管机关提出报告。
中央目的事业主管机关应查核关键基础设施提供者之资通安全维护计画实施情形。
关键基础设施提供者之资通安全维护计画实施有缺失或待改善者,应完成矫正、预防报告或提出矫正、预防计画,送交中央目的事业主管机关。
第二项至第五项之资通安全维护计画必要事项、实施报告之提出、查核之频率、内容与方法、矫正、预防报告或计画之提出及其他应遵行事项之办法,由中央目的事业主管机关定之。
?第十六条 除前条情形外,适用第六条第一项办法之非公务机关,应符合其所属资通安全责任等级之要求,并考量其所保有或处理之资讯种类、数量、性质、资通系统之规模与性质等条件,订定、修正及实施资通安全维护计画。
中央目的事业主管机关得视公共利益、保护人民生命及财产安全之需要,指定前项以外之非公务机关,就其所提供特定类型或性质之产品或服务,订定、修正及实施资通安全维护计画。
中央目的事业主管机关得要求前二项非公务机关,提出资通安全维护计画实施情形之报告。
中央目的事业主管机关得查核第一项及第二项非公务机关之资通安全维护计画实施情形,发现有缺失或待改善者,应限期要求受查核之非公务机关完成矫正、预防报告或提出矫正、预防计画。
前四项之资通安全维护计画必要事项、实施报告之提出、查核之频率、内容与方法、矫正、预防报告或计画之提出及其他应遵行事项之办法,由中央目的事业主管机关定之。
?第十七条 前二条之非公务机关为因应资通安全事件,应订定通报及应变机制。
前项之非公务机关于发生资通安全事件时,应向中央目的事业主管机关通报。
第一项之非公务机关,应向中央目的事业主管机关提出资通安全事件调查、处理及矫正、预防情形或矫正、预防计画之报告;如为重大资通安全事件者,其报告并应送交行政院。
前三项通报及应变机制之必要事项、通报内容、报告之提出及其他应遵行事项之办法,由行政院定之。
发生重大资通安全事件时,行政院或中央目的事业主管机关得公告与事件相关之必要内容及因应措施。
?第十八条 中央目的事业主管机关因查核资通安全维护计画发现重大缺失,或遇重大资通安全事件,而认有必要时,得派员携带执行职务证明文件,进入第十五条及第十六条之非公务机关场所检查,并得命相关人员为必要之说明、配合措施或提供相关证明资料。
对于前项之检查,非公务机关及其相关人员无正当理由不得规避、妨碍或拒绝。
中央目的事业主管机关为前项检查时,得率同司法警察人员、资讯、电信或法律等专业人员共同为之。
参与检查之人员,对于因检查而知悉之他人应秘密之资讯,负保密义务。
第四章 罚则
?第十九条 非公务机关有下列情形之一者,由中央目的事业主管机关处新台币十万元以上二百万元以下罚锾,并令限期改正;届期未改正者,按次处罚之:
一、违反第十五条第二项规定,未确实订定、修正或实施资通安全维护计画。
二、违反第十六条第一项或第二项规定,未确实订定、修正或实施资通安全维护计画。
?第二十条 非公务机关未依第十七条第二项规定通报资通安全事件者,由中央目的事业主管机关处新台币十万元以上一百万元以下罚锾,并令限期改正;届期未改正者,按次处罚之。
?第二十一条 非公务机关有下列情形之一者,由中央目的事业主管机关处新台币五万元以上五十万元以下罚锾,并令限期改正;届期未改正者,按次处罚之:
一、未依第十五条第三项或第十六条第三项规定,向中央目的事业主管机关提出资通安全维护计画实施情形之报告。
二、未依第十五条第五项或第十六条第四项规定,完成矫正、预防报告或提出矫正、预防计画送交中央目的事业主管机关。
三、未依第十七条第一项规定,订定资通安全事件之通报及应变机制。
四、违反第十七条第三项规定,未向中央目的事业主管机关提出资通安全事件之调查、处理及矫正、预防报告或计画,或重大资通安全事件之相关报告或计画未送交行政院。
?第二十二条 非公务机关无正当理由违反第十八条第二项规定者,由中央目的事业主管机关处新台币二万元以上二十万元以下罚锾。
第五章 附则
?第二十三条 本法施行细则,由行政院定之。
?第二十四条 本法施行日期,由行政院定之。
?相关报导 ?资安管理法草案出炉
I 相关 / Other
▲台湾银行推出鸡年限量银币及黄金条块,并祭出早鸟优惠,其中黄金条块未来还可回售台银。台湾金控暨台湾银行董事长吕桔诚6日宣布,委托中央造币厂设计、鑄造的“丁酉鸡年精鑄生肖银币”及“台银金钻条块”正式开卖
寿险也用Pepper机器人「迎宾」,国泰人寿抢先同业一次引进10台机器人客服
图片来源: 摄影/洪政伟 「开门见山地说,妳的年龄是19岁!」这台由日本软银公司(SBRH)研发的Pepper机器人今天(10月6日)正式在国泰人寿亮相。只要走进国泰台北旗舰服务中心,就可以在入口处看见身高121公分的白色
Google正式推出Pixel新机,由Google主导研发设计,主打5大功能,包括结合Google助理、高品质相机、无限云端储存、Google△Duo视讯与VR虚拟实境,较劲iPhone△7。Google今天在发表会上宣布一连串新品,包括荧幕5英寸
随着日本“一兰拉面”即将来台开店,一兰拉面就不断出现在网络话题中。在民众引颈企盼之际,家乐福正式取得授权,在日本周活动开卖,全台26家含网购共7200份,让消费者抢先尝。一兰拉面发迹于日本福冈,是去日本旅游
金奖导演朗霍华执导的达文西密码三部曲“地狱”,10月12日将在台湾抢先全球上映。三度回归的演员汤姆汉克,这回除了解密,还要全程跑遍欧亚,但他却乐在其中。“达文西密码”作者丹布朗最新力作“地狱”,将在10月登