行政院資安處在網路上公開「資通安全管理法草案」徵求各界建議,也將9月6場產、官、學界座談會建言上網公開。

圖片來源: 

iThome

為了趕在今年底前能夠完成資安管理法三讀,行政院資安處8月底一完成法案初稿,就一連舉辦了6場法案座談會,不只找來政府機關資訊與資安業務相關的主管參與,也照例向法界和資訊界學者請益,還特別舉辦2場向民間意見領袖和業界資訊、資安主管請教。9月底更進一步將法案草案上網公開向全民徵求意見,行政院資安處處長簡宏偉表示,為了就是希望能匯集更多的立法修法意見,來加速立法過程。6場座談會三方(政府機關、業界、學界)角度的建議彙整摘要如下:

政府機關建言

 建議1  考量政府機關資安人力不足或專業不足,建議減少例行文書作業,如免定資通安全維護計畫,或是明文列出應投入適當資安資源的規定,以充裕各機關資安預算及人力。

 建議2  電子商務業者資安防護不足,建議也納入規範。

 建議3  行政檢查作業面上,一來因無急迫危急人身安全,建議刪除警察陪同,改有危害才報警,另可增加遭遇大規模攻擊時,可尋求國軍支援的項目。

 建議4  草案第8條規定政府採購需特別考量資安需求,恐與現行採購法規定採整體評選作法衝突需解決。

 建議5  未來訂定通報應變辦法時,應納入證據保全程序。資安通報可以和法務部調查局現行通報整合來簡化程序。

 建議6  產業權責主管機關除中央目的事業主管機關之外,可以增列轄管機關。

 建議7  草案獎少懲罰多,建議調整比例。

民間團體建言

 建議1  應釐清所有納管產業的主管機關並統一權責單位,並訂定業者遵循標準,以利衡量是否善盡責任,或提供完整資安維護範本。

 建議2  關鍵基礎設施定義需更清楚,如通訊軟體是否納入?高科技園區內企業是否納入?也應明訂重大資通安全事件之定義。或是限縮非公務機關規範範圍,排除與關鍵基礎設施無關之企業。

 建議3  委外監督應訂標準,並限縮於受委託範圍。

 建議4  罰則較重,應提供更多獎勵和輔導措施,例如將資安投資納入投資抵免範疇。也建議採比例原則,先輔導改善再課罰。

 建議5  資安事件往往事後才能發現,規定未通報就開罰恐對業者負擔過大。另外,企業通報後,應可獲得政府部門支援來改善。

 建議6  政府應保障相關預算和人力,並提供資安人才培育機制。

 建議7  政府應建立整體資安防護系統,抵抗境外攻擊。

 建議8  不宜增加國軍介入的項目。

 建議9  不需訂定行政檢查,或刪除司法警察陪同之條文。

 建議10  資安維護規定與現有法律多有重疊,應進一步調整,避免提高企業法尊成本或一事多罰。

 建議11  應釐清境外單位是否納管,尤其協助外商遵守本法。

學者專家建言

 建議1  立法目的、達成實際作法、私部門規範之必要應有更詳細說明,例如納入資安預防、資安保護、證據保全與專業鑑識,或適度納入管理、技術、稽核及風險評估等面向。草案架構可考慮部分內容分開立法。

 建議2  建議法條先以政府機關規範為主,不列入民間企業。

 建議3  行政院應籌組諮詢委員會,協助政府掌握資安高速變動。

 建議4  應釐清資訊和資安業務各自的主管機關。

 建議5  關鍵基礎設施指定若有爭議,行政院應增設爭議協調機制。

 建議6  主管機關可指定納管企業的範圍過廣。關鍵基礎設施提供者之界定應有一套判別基準,而非只由主管機關指定,或統一由行政院公告訂定關鍵基礎設施定義。

 建議7  加強對非公務機關之義務規範,包括通知當事人義務、目的外利用或再識別行為。

 建議8  對企業罰則強度不足,罰則額度小於個資法,難發揮效果。建議可增加,對其他之事業、機關或個人之資料安全、財產、生命或其他之資訊運作有重大影響者,主管機關得要求停止全部或部分業務的營業。也可要求負責人應接受教育講習。

 建議9  罰則應涵蓋公務機關,另避免圖利資安業者。

 建議10  建議對民間資安投資可給予租稅優惠。

 建議11  應設立國家級資安長,另對各級機關資安長,可訂定符合資格條件來遴選。

 建議12  建議將定期稽核、檢查、復原及動員計畫納入草案。

 建議13  可訂定日出條款,逐步納入不同規範對象。

 建議14  法案要求應更明確、簡化、有效之基本條文,日後再修法增列規範事項。

 建議15  應注意本法與個資法的競合,以及本法與其他法規的關係,如國安法。

 建議16  應考量法尊成本,避免產業外移。

 建議17  行政檢查發動時機的合宜性需考慮。

 

 相關報導  資安管理法草案出爐


Advertisement

更多 iThome相關內容