隨著資安威脅加劇,行政院會昨(4)日通過《資通安全管理法》修法,強化資安管理,要求公務機關、特定非公務機關(例如新竹科學園區、台電等)都要設資安長,全案將送立院審議。
此外也將資安法主管機關改為數位發展部,未來遇重大資安案件,數發部可調度其他機關的資安人員共同聯防;各部會可對管理的特定非公務機關重大資安事件行政調查,若妨礙或拒絕調查,最高可罰100萬元。
這是資安法立法以來首度大幅度翻修。數發部表示,修法後,適用範圍為政府公部門跟特定非公務機關,並未納入一般民間企業。
其中特定非公務機關分為兩類,一是行政院核定的八大關鍵基礎設施提供者,如中華電信、竹科、國營事業,二是公營事業或特定財團法人,如電信技術中心。
修法明定主管機關及各機關權責,資安法主管機關原為行政院,後改為數發部;並強化納管機關資安管理,包含擴大稽核範圍,增訂資安署可定期或不定期稽核納管機關的資安維護計畫實施情形,並增訂納管機關對於危害國家資安產品有關下載、安裝或使用相關規範。
此外也增訂中央目的事業主管機關對特定非公務機關的調查權限。若遇重大資安事件,資安署可稽核所有納管公務機關或特定非公務機關,依程序通知當事人或關係人到場陳述、提出第三方機構調查報告;主管機關可派員、委任其他機關前往當事人及關係人處所實施必要檢查。若規避、妨礙或拒絕調查,可開罰10萬以上、100萬元以下罰鍰。