預計在2018年立法院新會期可望完成立法程序的資通安全法,除了規範政府機關外,包括油水電等影響民生重要的關鍵基礎設施業者,則是另外受到資安法規範的對象。

法律是企業組織賴以生存的根本,而資通安全法除了規範公務機關外,就是特定非公務機關,以關鍵基礎設施業者為主,刪除視為行政權擴權的行政檢查條文,對於相關的公務及特定非公務機關遭駭卻知情不報者加重處罰,罰金從原本的10萬~100萬元提高為30萬~500萬元。

如果資安法可以如期在2018年2月立法院新會期通過,相關的子法經過各界討論,會由行政院制定公布,只要各界有共識,相關子法會加速通過的流程,資安法正式施行的日期更是指日可待。

在資安法中,除了重新規範如何指定受該法管控的關鍵基礎設施業者之外,對於遭駭但知情不報者更加重處罰。

因此,如何在資安法正式實施前,確認自身是否是受到資安法控管的單位,更應該要做的事情則是,透過重新盤點內部的資安通報與應變流程,制定資安通安維護計畫,讓法規遵循成為企業內部重要的提升資安防護措施和資安意識的動力之一,以免資安法一旦通過後,因為事先沒有準備而顯得措手不及。

資安法刪行政檢查權,明定關鍵基礎設施業者指定程序

各國政府透過制定相關的法律規範,作為國家因應資安威脅與攻擊時的應變手段,更重要的是,透過立法程序,也可以連帶提升相關的企業和組織機關對於資安威脅的警覺性以及防護意識。

資安法草案一直是列在執政黨的優先法案中,2017年4月27日行政院院會才通過行政院版的資通安全法草案,5月進到立法院完成一讀程序,然後進到委員會進行委員詢答和實質審查時,遲遲沒有進展的原因主要卡在第十八條「行政檢查權」的條文中。

行政檢查權主要是賦予行政機關有權到受駭的關鍵基礎設施業者場域,進行相關的資安事件調查,或者是協助預防資安事件的擴大,而受檢查的業者並無權拒絕。然而,這樣的行政檢查權力則讓許多受到規範的關鍵基礎設施業者視為惡法,認為這是行政權擴權的象徵,不具有司法警察調查權力的行政機關,如何有權力到這些關鍵基礎設施業者的場域做行政檢查,還不允許業者拒絕,這擺明就是行政權擴權的象徵。

為了讓資安法可以有進展,民進黨立院黨團直接刪除「行政檢查權」這條霸王條款,明定資安法的主管機關就是行政院,更在條文中明定指定關鍵基礎設施的程序,未來將由中央目的事業主管機關徵詢產官學研各方意見後,才可以指定關鍵基礎設施業者,相關的名單除了要報請行政院核定、書面通知受核定單位並公告,指定的關鍵基礎設施業者名單也必須送到立法院備查。

一級關鍵基礎設施業者名單公布,加重遭駭知情不報者處罰

行政院資安處先前已經針對重要的關鍵基礎設施進行盤點,列為一級關鍵基礎設施業者,多是服務會影響全臺民眾的服務,其他二級則是相關服務會影響區域民眾,三級則是影響縣市民眾。

目前行政院資安處只有公布一級關鍵基礎設施業者的名單,能源部分則有臺電和中油等公營事業;水資源範疇則有臺北翡翠水庫管理局政府機關;通訊傳播領域則有中華電信、新世紀資通、台固、全球光網、國際環球及亞太電信等民間企業;交通部分則有民航局臺北國際航空站和民航局高雄國際航空站等政府機關,公營事業則有臺鐵、臺北捷運、臺灣港務公司和桃園機場等公營事業,以及高鐵和高雄捷運等民間企業。

至於,在金融與銀行領域則有中央銀行公營事業,財金資訊公司這個民間企業;中央與地方政府列為一級關鍵基礎設施的只有國家發展委員會和故宮等兩個政府機關;至於高科技園區目前並沒有任何一個單位,被列入第一級關鍵基礎設施業者。

雖然行政院資安處目前公布一級關鍵基礎設施業者名單,未來在資安法通過後,所有關鍵基礎設施的指定,都會遵照條文規定的指定程序,重新指定受到資安法控管的關鍵基礎設施業者名單。

許多單位為了避免遭駭事蹟外洩,往往都會知情不報,但在資安法通過後,除了維持原先沒有落實資通安全維護計畫,相關單位會被處罰10萬~100萬元外,對於資安事件知情不報者,更採取加重處罰的手段,罰鍰從原先的10萬~100萬元,提高到30萬~500萬元不等。

行政院資安處處長簡宏偉認為,鼓勵資安事件通報比處罰更重要,未來也會與相關中央目的事業主管機關做法規調適,不要再發生當業者主動揭露資安事件時,主管機關就像捉到把柄般立馬重罰,接下來,也會在資安法的子法中,針對資安事件的分級與通報進行規範。

2018年資安法可以如期完成立法程序,相關子法也可望在徵詢各界意見後,由行政院制定公布,受規範的機關業者都應該在資安法通過到正式實施前,把握這個法規遵循的機會,提升內部的資安應變程序。


Advertisement

更多 iThome相關內容