立法院在5月11日進行院會,針對司法及法制委員會提出的《資安管理法草案》併案審查,順利完成三讀程序。

圖片來源: 

余宛如立委辦公室提供

延宕許久的《資通安全管理法草案》,也是列為民進黨團的優先法案之一,在今天召開的立法院院會中,依照民進黨送進委員會的資通安全法草案版本進行審查,順利完成三讀程序。一般而言,立法院完成三讀的條文會在一個月內送交總統宣讀後就正式實施,根據《資通安全管理法》第23條規定,正式施行日期將由資安主管機關行政院另外訂定公布。

目前,行政院資安處也與法規會確認,總統公布後6個月內就會正式施行,而第一階段適用的公務機關,就只有半年的準備期。假設母法在6月1日公布,最遲12月1日實施,公務機關也將在12月1日開始適用。

行政院資安處處長簡宏偉則指出,2017年4月27日行政院院會通過行政院版的《資通安全管理法草案》,並於5月進到立法院完成一讀程序,迄今一年的時間可以順利完成三讀程序,也是因為各界對於資安的重要性都有共識,加上,《資通安全管理法》已經是國家發展資安重要的法規基礎,主管機關更可以據此規範攸關民眾權益的關鍵基礎設施業者的資安防護水準,「《資通安全管理法》是臺灣資安發展重要的里程碑。」簡宏偉說道。

資安法公布實施後,關鍵基礎設施業者將一年後適用該法規範

簡宏偉強調,《資通安全管理法》立法通過後,三種機關類別將分梯次適用該法的規範,首先,包括中央政府和地方政府的公務機關,是最先適用資安管理法的規範,適用日期將訂在該法通過後的6個月生效;其他提供關鍵基礎設施服務的產業業者,則是在該法通過後的12個月才開始適用資安管理法。

至於其他非關鍵基礎設施提供者的公營事業,或者是政府捐助達一定比例的財團法人,則在資安法最後一波的適用對象,在立法通過後的18個月才生效;他指出,資安處也會在資安法通過後的24個月後,蒐集資安法適用過程中的所有狀況,並會再進行全盤的檢討。

但他也說,行政院資安處除了依法繼續制定相關的《資通安全管理法施行細則》、《資通安全責任等級分級辦法》、《資通安全情資分享辦法》、《資通安全事件通報及應變辦法》、《特定非公務機關資通安全維護計畫》以及《公務機關所屬人員辦理資通安全業務獎懲辦法》之外,持續對外界說明和溝通《資通安全管理法》也是資安處重要的責任之一。

刪除行政檢查條款,對遭駭不通報者進行重罰

立法院這次通過的《資通安全管理法》中,主要是依據民進黨之前進行委員會審查的版本進行審查,首先是刪除原先第18條「行政檢查權」條文,行政機關將無法到受駭的關鍵基礎設施業者場域,進行資安事件調查或是預防資安事件擴大,更明定,資安法的主管機關就是行政院,同時在條文中,明確規範了應該如何指定關鍵基礎設施的程序。

政府目前規定有八大關鍵基礎設施,包括政府機關、電廠、金融業、水公司和交通設施都在內,根據新版《資通安全管理法》規定,未來將由中央目的事業主管機關徵詢產官學研各方意見後,才可以指定關鍵基礎設施業者,相關的名單除了要報請主管機關核定、也必須以書面通知受核定單位。至於,原先在委員會條文中,希望可以將核定名單送到立法院備查一事則取消。

此外,為了鼓勵受駭的特定非公務機關發生重大資安事件時,應該主動向中央目的事業主管機關進行通報,避免知情不報的情況發生。《資通安全管理法》第21條中規定,除了維持原先沒有落實資通安全維護計畫,相關單位會被處罰10萬~100萬元外,對於資安事件知情不報者,更採取加重處罰的手段,罰鍰從原先的10萬~100萬元,提高到30萬~500萬元不等,並規定限期改正。

另外,民進黨立委余宛如也提醒,國家的資通安全不能只單靠一部《資通安全管理法》就夠了,需要透過一套從標準到人才養成以及資安觀念提升的完整系統,才能夠真正提升國家的資安環境。她也說,目前的通過的法案版本是各方妥協下的產物,行政院資安處也應該繼續持續對外溝通,消除各界對資安法的疑慮與不了解。文⊙黃彥棻

 


Advertisement

更多 iThome相關內容