跳到主要內容區塊 :::
針對 「資通安全管理法子法草案」,歡迎您提供建議與看法!

討論時間

0

主(協)辦單位 行政院 

針對 「資通安全管理法子法草案」,歡迎您提供建議與看法!

       資通安全管理法子法草案現正於本平臺預告中,網址:https://join.gov.tw/policies/detail/42d0853b-76f8-46c2-a879-e72f13d0dc9e,為使討論議題集中,敬請各界移至前述網址進行討論。

=================================

隨著網際網路及資通科技快速發展與普及,資通科技相關應用,已被世界各國視為協助產業經濟轉型、提升國家競爭力及有效解決社會發展議題之關鍵,然而,網路普及化後,資通系統或服務所引發之資通安全課題,逐漸成為影響社會安定、國家安全之隱憂,參諸國際近年對於資通安全保護之趨勢,各先進國家已將此議題提升至國家安全層次,並制定專法加以規範。

       由於公務機關所承擔之公共任務,及關鍵基礎設施提供者在內之特定非公務機關所維運或提供之服務,均對國家安全、民眾生活、經濟活動等有重大影響;且近年來,對於公務機關或關鍵基礎設施等進行網路攻擊之情形時有所聞,其如未能考量自身風險,備妥資通安全防護作為,一旦遭受惡意攻擊,恐造成難以回復之損害,對國家安全及公共利益將造成重大威脅。

       為課予公務機關及特定非公務機關之資通安全防護責任,確保國家安全與公共利益,本院已參酌美、日、德等先進國家立法原則,並考量我國社經環境與法規制度,擬具「資通安全管理法(草案)」送立法院審議,本法亦已於本(107)年5月11日完成立法院三讀程序,為配合本法順利施行,本院刻正訂定相關子法草案,為確保子法條文內容符合實需,將藉由本平台廣納徵詢各界意見,歡迎各界踴躍提供建言,以期子法草案訂定之內容更臻完備。

下載全部

資通安全管理法草案(20180511三讀版本)

下載全部

資通安全管理法子法草案說明簡報

機關綜整回應

2018-10-26

綜整回應:

宮屏惠小姐 好

有關您提到公私部門處理電子商務應對個人資料善盡保護責任之議題,目前已有「個人資料保護法」進行規範,另依「資通安全管理法」之子法「資通安全責任等級分級辦法」草案規定,公務機關或特定非公務機關如持有全國民眾個人資料檔案者,應負有較高之資安責任等級,須達到較高之資安防護基準要求,以降低資安風險。

 

Koney好:

本法所稱「專責人員」係指指定專人負責辦理資安工作,惟資安工作可為其兼辦之業務,先予敘明,另機關之資安責任等級如經核定為B級,意即貴組織業務具相當程度之關鍵性與重要性,即應投入人力資源進行資安相關防護,非以現行人力多寡作為資安人力投入之衡量基準。

此外,一般組織之資通系統或服務雖可透過委外方式辦理,惟對於組織之資通安全政策、計畫及技術規範之研議、建置、評估及稽核等事項,仍應由組織自行辦理,非由委外單位可完全承擔,故配置資安專責人員仍屬必要。

 

YOYO 好:

專職人員跟專責人員的差異在於對資安工作投入之程度,「專職人員」是指全職辦理資安工作的同仁,「專責人員」則是指定專人負責辦理資安工作,惟資安工作可為其兼辦之業務。

至於公務機關補實資安專職人員之作法,並不限係採增編人力或現有員額內進行調整補充,應視機關人力運用情形而定,建議洽商人事單位意見。

 

 

YOYO 好:

您所提機關若自行或委外開發全球資訊網及設置伺服器,依「資通安全管理法」之「資通安全責任等級分級辦法」第六條規定,機關之資通安全責任等級確實應為C級。

另如資安責任等級C級機關且無核心資通系統,可依前項相關辦法規定,無須辦理系統持續運作演練。

 

 

Koney 好:

依據您所述業務,非屬資通安全責任等級分級辦法草案 第5條 第1項 所稱「區域性或地區性民眾個人資料檔案之持有或處理」之情形。

 

 

Oo好:

是。資通安全管理法及子法施行後,機關應依法執行各項規定,對本法生效以前的行爲並不適用。

 

 

Din好:

子法條文內容目前仍以中文為主,您的建議,後續本處會研究評估做法,或透過說明會或文件範本讓大家清楚理解。

 

Net好:

資通安全事件通報應變辦法中要求各機關提出「調查、處理及改善報告」,事件通報及結案係在現行通報網站進行,但3,4級事件在網站上填報後,如上級或監督機關或主管機關認為有必要時,會再要求交付紙本文件說明。

實兵演練未來通報的方式會比照現行的作法。

 

Insider 好:

資通安全管理法係以風險管理為原則,藉由機關資安責任等級分級、資產盤點、風險評鑑、資通系統防護等級分級等,部署相當防護機制,人員的管理也是防護機制的一環,在子法草案中,已將相關防護措施納入,如「資通安全責任等級分級辦法」草案中,各機關應辦事項-技術面之資通安全健診、資通安全監控管理機制、政府組態基準、認知教育面等規範,以及資通系統防護基準中,存取控制、識別與鑑別二構面之各相關措施等,皆屬具體之內部安全管控作為。

 

Shield 好:

感謝您的建議,「資通安全責任等級分級辦法」草案之附表「資通系統防護基準」中,已設計存取控制、識別與鑑別、系統與通訊保護等構面之各相關措施等,皆屬具體之內部安全管控作為。

 

小力好:

關鍵基礎設施領域之資安防護如有特殊性,仍可由中央目的事業主管機關訂定相關之防護基準。

 

Iron好:

謝謝您的建議,將再檢視文字內容。

 

Din 好:

各機關進行情資分享方式主要是透過資通系統或電子郵件方式進行,「資通安全情資分享辦法」第7條中規範以傳真方式是當前述2項方式在特例情形下皆無法運作下,所設置之暫時替代方式。

另外,情資分享時的相關防護機制,已規範於「資通安全情資分享辦法」第5條,即納管對象在情資分享時應規劃適當之安全維護措施。

 

 

協助我們改善服務