圖片來源: 

iThome

由於資安管理法的立法架構,是參考個資法中分成公務機關與非公務機關兩部分,故剛開始舉辦資安管理法說明會時,許多企業對於非公務機關納管範圍,究竟包含哪些產業別,疑慮最深。和沛科技總經理翟本喬表示,在歷次討論會中,已確認非公務機關的納管範圍,將以對民生安全影響最大的八大關鍵基礎設施為主,並且取消由主管機關指定的產業受到該法規範字眼。

不過,目前受資安管理法規範的產業別中,如油、水、電和天然氣等,本身就是某種特許或是受保護產業,規模大小不一,若因產業規模太小或是沒有經費委外,翟本喬甚至建議,可聯合整體產業業者,將資安委外給單一的資安業者,以提供相關服務,如單一的瓦斯業者、運輸業者的規模較小,能聯合整體產業,將資安委外給同一家資安業者。

而共同將資安委外過程中,他認為,應該可以依照業者的營收或者是運輸量等方式,由業者按比例支付相關的資安委外費用,既符合使用者付費的概念,也可以做到即便單一業者的規模較小,仍然可以藉由資安聯合委外的方式,獲得良好的資安防護。

有罰也應有獎勵,投資抵減可以鼓勵企業落實資安

至於在罰則規範上,翟本喬指出,中央目的事業主管機關應該要趁此時,整合相關罰則,讓資安法規和處罰可以彙整,有助於產業遵循法規。而像是資安組織架構的範本,他則建議,主管機關應提供範本供非公務機關參考,畢竟,仍有不少受規範的非公務機關,不熟悉如何制定資安組織架構,有範本參考。

當然,翟本喬也引述某位金融業資訊主管的建議,他認為,資安管理法目前只規範罰則並沒有相對應獎勵措施,是否可由政府出面,針對非公務機關的資安投資,列入資安投資抵減的項目中,讓非公務機關更有動力落實資安。當然,這中間還是有討論的空間,可以肯定的是,一旦可投資抵減,未來法規需要更簡化,讓非公務機關可享受到相關的便利與效益。

 相關報導  資安管理法草案出爐


Advertisement

更多 iThome相關內容