圖片來源: 

iThome

行政院資安處草擬資安管理法的同時,為了避免政府過度濫權,匯集各界意見後,不僅會刪除行政機關指定的產業納管條文,也以明文和提供清單方式,送交行政院核定,藉此規範究竟有哪些非公務機關,受到資安管理法規範。

東吳大學法律系副教授余啟民表示,因為受規範的關鍵基礎設施的範圍雖有大分類,但更細緻的產業分類,不見得可以一眼明瞭,未來立法如何讓受到法律規範的產業清楚認知,本身已受到資安管理法規範,將是資安管理法能否落實的一大挑戰。

立法明定情資分享應有SOP配套

要能夠做到事前的資安預警,余啟民指出,資安情資分享是非常重要的環節,因資安管理法便明定行政院應該建立資安情資分享機制。只不過,現在對於資安等於國安口號朗朗上口同時,所謂的情資分享,必須釐清是否包含所謂的國家安全情資在內,是否會納入國安會以及國土安全部的安全情資等,畢竟所有的攻擊都透過網路和系統發動,中間情資分享的分際拿捏,如何讓過往不願意分享情資的機關,願意分享,都是考驗。

再者,資安管理法明定公務機關應該要考量所屬的資通安全責任等級,並且制定資通安全維護計畫,也必須向上級或監督機關提出報告。余啟民認為,地方政府也是政府的一環,如果地方政府爆發資安事件必須往上級或監督單位提出報告時,現在中央政府是否有能力掌握地方政府的動態與需求?是否有足夠的人力,監督相關資安維護計畫的實施情況?

推動個資法時,不論公務機關或非公務機關,對於承接個資委外業務的外包者,若發生狀況,執行個資委外業務的單位視同委外單位,必須負起相同的法律責任。不過余啟民說,在資安管理法規定中,雖明定選任適當受託者,委外單位可進行資安監督,但實際上,如果委外單位爆發資安事件,就該法條的規定,受委託單位和委託者並沒有承擔相同的法律責任,一般在談論資安委外的法律責任時,不應該與資安委外混為一談。

 相關報導  資安管理法草案出爐


Advertisement

更多 iThome相關內容