【立法者看資安法三讀通過】資安法是妥協下的產物，卻是資安發展重要關鍵第一步

在歷經多次的開會與討論，《資通安全管理法》終於在5月11日於立法院完成三讀程序，長期關心該法動態的民進黨立法委員余宛如表示，臺灣的這部資安法其實是妥協之下的產物，因為，國家資安政策的推動，並不是只有單靠一部資安法就可以成事，重點在於，必須要有一套完善的系統，從標準到人才養成以及觀念提升等，都應該透過彼此分工、綿密鋪陳，「資安法的過關，絕對不是要引發新一波的軟體戰爭，而是要打造更完善的資安系統與架構。」她說。

美國在資安發展戰略算是領先指標，早在2002年就打造一套《聯邦資訊安全管理法案（FISMA）》治理架構，中間並經歷二次的修法調整，這也意味著，美國藉由國家資安的高度，帶動美國資安產業的發展並提升相關的資安標準。

她進一步解釋，美國的關鍵基礎設施會分成公、私兩大部門，透過打造一套公私部門都願意接受的資安認證體系，就看相關業者要做多大規模的生意，只要他們要接政府部門的生意，都必須主動符合這套體系標準，對於政府在資安採購上，也有一套很好的參考依據。

另外，美國國家標準技術研究院（NIST）也針對公務部門，提供一套資安標準，而國土安全辦公室則是作為政策制度與監督的角色。余宛如認為，未來，臺灣在制定相關的資安標準時，除了要做到盡量和國際接軌之外，也可以參考美國的作法，將標準制定者和監督者區隔開來，以減少球員兼裁判帶來的疑慮。

而在《資通安全管理法》三讀版本中，最終拿掉原本第18條的行政檢查條文，因為沒有明確定義關鍵基礎設施業者是哪些的情況下，也造成許多民營業者的恐慌。

最明顯的例子就是，國土安全辦公室原本的八大關鍵基礎設施中，有一個「科學園區」，但因為定義不明，就是是只要在園區的業者都算是關鍵基礎設施業者都算呢？還是特定的業者才算呢？因此，最後便以特定非公務機關來指涉原先的關鍵基礎設施業者。

「資安法通過後，關鍵基礎設施業者的系統，只要與網路相關的部份，都在該法的規範之內。」余宛如說。

余宛如認為，《資通安全管理法》通過後，還有許多子法必須跟上來，要先做到政府可以落實應該有的資安防護，並且把政府資安機構做分級、分類，招募並培訓資安人才，並打造資安防護流程的SOP（標準作業程序）。

她也強調，現在外界對於資安法仍有許多不了解和疑慮，未來在制定子法的同時，與各界的溝通依舊不可少，不論未來是否有機會打造資訊總處或資安總處這樣的獨立專責機構，但可以確定的是，《資通安全管理法》三讀過關，的確是臺灣資安發展史上重要關鍵的第一步。

 相關資料  資通安全管理法立院三讀通過條文