政院通过资安法修正案 扩大稽核范围
为强化纳管机关资通安全管理,行政院会今天通过「资通安全管理法」部分条文修正草案,包含扩大资安稽核范围,纳入总统府与五院,另外,增订纳管机关对於危害国家资通安全产品有关下载、安装或使用相关规范。
行政院会今天通过「资通安全管理法」部分条文修正草案,草案四大重点包含,第一,明定主管机关及各机关权责;第二,强化纳管机关资通安全管理,包含扩大稽核范围,增订资安署得定期或不定期稽核纳管机关的资通安全维护计画实施情形,并增订纳管机关对於危害国家资通安全产品有关下载、安装或使用的相关规范。
第三,草案增订应符合资通安全责任等级的要求设置资通安全专职人员、强化并提升资通安全人员的专业知能,及重大资通安全事件的调度支援等规定;第四,增订中央目的事业主管机关对特定非公务机关重大资通安全事件的调查权限。
数位发展部次长阙河鸣在行政院会後记者会时指出,这次修法非规范采购行为,而是规范使用情形,像是某个已被政府采购的产品,原先厂牌是美商或台商,但业者後续可能被并购,并购的国家如果将云端伺服器放在中国可控制的地方,当地政府可取得云端资料,那这采购产品就会成为危害资安产品。
阙河鸣表示,修法规范公务机关跟非特定公务机关使用上述产品,目的不是为了裁罚,而是降低使用风险,只规范不可使用的方式,而若公务机关因为某些原因,一定要使用被管制的产品或服务,可透过资安长以及上级资安长同意,报数位部备查,基本上就会同意。
阙河鸣表示,很多驻外单位因为当地电信服务,或陆委会可能需要使用跟中国有关资料库,在现行制度已经运作顺畅,这次修法只是把现行制度在法律内具体化,加强各公务机关资安意识以及资讯保障。
至於特定非公务机关的范围,依法指的是关键基础设施提供者、公营事业及政府捐助的财团法人。
数位部资安署长谢翠娟出席政院会後记者会时补充表示,重大资安事件指的是影响层面超过一个县市政府范围,或是受影响的资料对民众过大;另外资安署针对机关的稽核结果,将定期送到立法院,并在网站上公布。
谢翠娟也说,需要触碰机敏业务的资安人员,也将进行适任性查核,确认是否有犯罪记录。
行政院会今天通过「资通安全管理法」部分条文修正草案,草案四大重点包含,第一,明定主管机关及各机关权责;第二,强化纳管机关资通安全管理,包含扩大稽核范围,增订资安署得定期或不定期稽核纳管机关的资通安全维护计画实施情形,并增订纳管机关对於危害国家资通安全产品有关下载、安装或使用的相关规范。
第三,草案增订应符合资通安全责任等级的要求设置资通安全专职人员、强化并提升资通安全人员的专业知能,及重大资通安全事件的调度支援等规定;第四,增订中央目的事业主管机关对特定非公务机关重大资通安全事件的调查权限。
数位发展部次长阙河鸣在行政院会後记者会时指出,这次修法非规范采购行为,而是规范使用情形,像是某个已被政府采购的产品,原先厂牌是美商或台商,但业者後续可能被并购,并购的国家如果将云端伺服器放在中国可控制的地方,当地政府可取得云端资料,那这采购产品就会成为危害资安产品。
阙河鸣表示,修法规范公务机关跟非特定公务机关使用上述产品,目的不是为了裁罚,而是降低使用风险,只规范不可使用的方式,而若公务机关因为某些原因,一定要使用被管制的产品或服务,可透过资安长以及上级资安长同意,报数位部备查,基本上就会同意。
阙河鸣表示,很多驻外单位因为当地电信服务,或陆委会可能需要使用跟中国有关资料库,在现行制度已经运作顺畅,这次修法只是把现行制度在法律内具体化,加强各公务机关资安意识以及资讯保障。
至於特定非公务机关的范围,依法指的是关键基础设施提供者、公营事业及政府捐助的财团法人。
数位部资安署长谢翠娟出席政院会後记者会时补充表示,重大资安事件指的是影响层面超过一个县市政府范围,或是受影响的资料对民众过大;另外资安署针对机关的稽核结果,将定期送到立法院,并在网站上公布。
谢翠娟也说,需要触碰机敏业务的资安人员,也将进行适任性查核,确认是否有犯罪记录。
