公共政策網路參與平臺

機關回應：

一、明定資通安全管理法(以下簡稱資安法)主管機關及各機關權責

提問：新設數位發展部為主管機關，是否仍需維持「中央目的事業主管機關」雙軌管理？資通安全署(三級機關)可對一、二級公務機關辦理資通安全稽核相關作業，是否符合相關業務之上下權責劃分、組織職掌及地方自治等事宜？地方公務機關之資通安全管理事項，須地方投注資源、人力，可能涉及中央或地方權限爭議。委外辦理資通系統之建置、維運或資通服務之提供，要求受託者建立有效之資通安全管理機制，明確定義為何？建議資安署接獲重大資通安全事件，並於機關提供需協助時，資安署「應」提供公務機關、特定非公務機關相關協助。

1. 資安法係以分層監督管理概念，由上級機關透過對所屬機關之資通安全稽核及後續改善情形之追蹤，掌握所屬機關之資通安全防護落實程度。復由資通安全署依機關層級、資通安全責任等級、資安防護情形、稽核頻率、業務屬性及稽核量能，擇重要機關辦理稽核。
2. 資安法修正草案將所管相關事項區分為主管機關及執行機關權責，由主管機關負責政策、制度或法規之擬訂，執行機關則係辦理技術性、專業性等業務事項；稽核相關業務涉及資安法執行機關對該法納管對象之監督與協助，維持由資通安全署辦理。
3. 草案條文第8條，資安署得定期或不定期稽核公務機關及特定非公務機關之資通安全維護計畫實施情形，其稽核範圍僅限資通安全相關事項，與機關權責劃分、組織職掌及地方自治等無涉。
4. 有關地方公務機關之資通安全管理可能涉及中央或地方權限之憲法爭議，為避免爭議，爰強化相關規範，於草案條文第16條第3項明定就資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他相關事項之辦法，由主管機關定之，以釐明中央與地方之權限。
5. 委外的管理措施是否"完善"，係視機關委外業務之防護需求及等級而定。機關可在招標文件中述明，以作為選商的評判依據。另外，前述防護需求所需之"完善"管理措施，建議可參考資訊安全管理系統國家標準CNS27001或ISO27001之管理要求及相關資安法規之要求據以審視之。另依現行資通安全管理法施行細則第4條第1項規定，係規範各機關於委外辦理資通系統之建置、維運或資通服務之提供，選任及監督受託者時應注意之事項，換言之，受託者應具備該項各款之相關資通安全管理機制。
6. 資安法係採分層管理機制，要求各機關應有對應之資安防護能量，對於資安事件應有基本應處能力，如須協助，基於領域熟悉程度及垂直督導體系宜由其中央目的事業主管機關先行提供協助。為使資安署及資安院對於資安事件處理之協助量能有效運用，宜以涉及國家整體風險、重要部會機關、關鍵重要系統等考量重點給予協助。

二、增訂公務機關及特定非公務機關對於危害國家資通安全產品有關下載、安裝或使用之相關規範

提問：查詢方式、採購疑義及特定非公務機關亦應適用危害國家資通安全產品。

1. 因行政院公共工程委員會就資訊服務定有採購契約範本，並考量資通訊相關產品之安全需持續維護，為避免法規競合及法律適用疑義，資安法僅規範「安裝、下載及使用」。
2. 實務上，可能發生採購時該產品尚非列屬危害國家資通安全產品，採購後因公司股權結構變化或產品設計結構轉變，致使該產品成為危害國家資通安全產品之情事，以法條禁止採購可能造成機關違約爭議，故考量產品風險情資之動態性，採限制「使用」以彈性因應。
3. 草案條文第11條並非就採購面加以管制，如遇產品採購後使用過程中風險升高，甚至已成為危害國家資通安全產品時，機關原則不得使用，如無法避免使用，經該機關資通安全長及依草案條文第14條規定收受其實施情形之機關資通安全長核可，函報主管機關核定後，得以專案方式使用，並列冊管理。
4. 考量市場上資通訊產品與服務調動快速頻繁，且時有市場併購致品牌易主情形，若以列舉方式提供清單效益有限，為臻周延，入法後改以情資分享方式辦理，以協助機關及時因應。有關外界建議特定非公務機關亦應適用危害國家資通安全產品之規定，已參採增訂於草案條文第27條；又因各中央目的事業主管機關所管特定非公務機關有所不同，宜授權由各中央目的事業主管機關另定管控措施。 

三、增訂資通安全專職人員、強化並提升資通安全人員之專業知能及重大資通安全事件之調度支援等規定

提問：設置專職人員的必要性，以及為何不能用專責人員處理資通安全業務？資通安全署得逕予調度支援，與人員及其所屬機關無協商機制，擴權並排擠機關業務。

1. 依現行資通安全責任等級分級辦法規定，針對資通安全責任等級C級以上之公務機關，已有配置資通安全專職人員之要求，考量現今資通安全風險升溫，為強化落實資通安全防護作業並能及時應處，避免造成事件擴散，爰提升至母法位階，且資通安全專職人員制度執行已逾5年，為利部分機關資訊單位可依法設置所需人力，故修法明定配置資通安全專職人員確有其必要性。
2. 另資通安全責任等級C級者，須設置專職人員1人。倘上級機關適當將系統向上集中，除利資通安全統籌強化外，已完成系統向上集中之C級機關更可調降資通安全責任等級，而可免設置專職人員。資通安全為聯防概念，期望透過以戰代訓累積資通安全人員應處之能力。草案條文第18條所示「調度支援」僅限重大資通安全事件，且非長期借調人力，僅為重大資通安全事件之參與及處理，另經彙整各界意見，已刪除「逕予」一詞，以杜外界疑慮，屆時按條文規定為調度時，仍會考量受調度人員及機關之意願。

四、增訂中央目的事業主管機關對特定非公務機關重大資通安全事件之調查權限

提問：為強化重大資通安全事件應處，中央目的事業主管機關必要時得調查相關事項，受調查者不得規避、妨害或拒絕，故草案應加強執行調查人員之適任性查核，以確保隱私權及營業秘密之保護。另本條所定「當事人」、「關係人」為何？受託單位的「公正性」有疑慮，被調查單位能否拒絕？獨立第三方機關是否有資格限制？

1. 特定非公務機關發生重大資通安全事件時，增訂中央目的事業主管機關之調查權，有利掌握事件發生根因、發覺共通性潛在弱點威脅，預防事件再次發生。惟為確保隱私權及營業秘密之維護，已於草案條文第25條第5項明定受委任或委託機關（構）之保密義務，避免特定非公務機關之秘密，因重大資通安全事件之調查而洩漏。
2. 當事人係指事發之特定非公務機關，關係人係指該特定非公務機關委託辦理資通系統之建置、維運或資通服務提供之受託廠商(如有分包，僅限主包商)。
3. 受調查者如對受託機關(構)之中立性有疑慮，可檢具事證向中央目的事業主管機關反映，並依行政程序法規定申請迴避。「第三方機構」係參酌資通安全管理法施行細則第4條第1項第1款所定之「第三方」精神，係指具有執行鑑識、調查等必要能力之機構，在過程中能夠客觀、公正、獨立地從事相關鑑識調查工作，提供重大資通安全事件完整之根因分析。目前未明定獨立第三方機構之資格限制，除需具有鑑識及調查等能力，從目的性解釋，應能以客觀、公正方式進行鑑識工作，始足當之。是以，如與機關具有利害關係之SOC服務商，或受調查機關之關係企業，均難謂之獨立第三方機構。 

五、涉及個人資料保護事件，應另依個人資料保護法及其相關法令辦理

提問：資安法跟個人資料保護法，二法如何適用？

1. 資安法與個人資料保護法之保護法益、規範對象、規制方式等皆不相同，查國際法制結構設計趨勢，亦區分不同法規及主管機關，例如歐盟個人隱私保護係以GDPR (General Data Protection Regulation)規範，而資通安全則以NIS 2 (Network and Information Security)規範，可見資通安全保護與個人資料保護分屬不同法規範，非我國獨有。
2. 資安法規範對象為涉及國家安全及公共利益之公務機關及特定非公務機關，其中特定非公務機關因維運或提供之服務，對國家安全、民眾生活、經濟活動等有重大影響，因此透過資安法管理機制，協助強化該等特定非公務機關資通安全管理措施，依草案條文第20條第1項規定程序擇定，而非全面納管。個人資料保護法則是為保護個人隱私權，避免人格權受到侵害，以及促進個人資料合理利用，故其規範對象為持有民眾個人資料之所有機關，不論是公務機關或非公務機關均全面納管，以保障人民個人資料之自主控制。資通安全事件，應依資安法規定辦理；如有涉及個人資料外洩情事，則應另依個人資料保護法及其相關規定辦理。 

六、增訂中央目的事業主管機關應公告指定關鍵基確設施提供者之指定基準、廢止條件及程序之規定

提問：倘與行政院核定結果不符，其所公告指定基準之法規效力為何？草案規定應徵詢相關機關、民間團體及專家學者意見指定清單，指定程序是否有訂定之必要？

中央目的事業主管機關應依「國家關鍵基礎設施安全防護指導綱要」辦理關鍵基礎設施(CI)盤點及相關防護措施，並依據「關鍵基礎設施提供者指定程序」完成關鍵基礎設施提供者(CIP)指定作業。實務上CIP指定作業係盤點CI核心業務及支持核心業務之資通系統(即關鍵資訊基礎設施，CII)，據以篩選CII，其CII之系統維管者即為候選CIP，爰無另訂關鍵基礎設施提供者(CIP)指定基準、廢止條件及程序之必要。 

七、其他(前六大議題外之建議)

提問：工作量增加，薪資應與業界水準相當、或人力吃緊，或對現狀、資通安全困境，或對數發部、資安署業務推展之相關意見。

1. 為補足資安人力缺口，本部資安署已依「公務人員考試設置新增類科處理要點」，送請考選部審核並獲准於公務人員考試新增資通安全類科，期擴大公務機關資安人員任用及選才管道。
2. 透過本次修法，本部資安署並訂定授權資安人力之調度支援、績效評核、獎勵及職能訓練相關事項，逐步建構資安人力統籌機制，進而改善各機關資安人力配置之困境。感謝各界對本修正草案之關注及寶貴建議，將列入未來政策及業務精進參考。

綜整回應:

一、有關各位提問，本部已透過「機關回應」整理成七大議題進行回復，綜整各位所提意見，資通安全管理法修正草案已酌予調整，尚無須大幅修正之處。

二、面對複雜多變之資通安全攻擊型態，國內資通安全環境越趨嚴峻，本次修法透過明定權責、強化納管機關資通安全管理、增訂資通安全人員職能訓練及調度支援，以及配合實務運作調整法條文字，持續完善我國資通安全法制規範，待資通安全管理法完成修法後，將有助強化我國資通安全防護體系、健全資通安全環境。