政院提修法 資安稽核範圍納入總統府5院

為強化納管機關資通安全管理，行政院會今天通過「資通安全管理法」部分條文修正草案，包含擴大資安稽核範圍，納入總統府與5院，另外，增訂納管機關對於危害國家資通安全產品有關下載、安裝或使用相關規範。

行政院會今天通過「資通安全管理法」部分條文修正草案，草案4大重點包含，第1，明定主管機關及各機關權責；第2，強化納管機關資通安全管理，包含擴大稽核範圍，增訂資安署得定期或不定期稽核納管機關的資通安全維護計畫實施情形，並增訂納管機關對於危害國家資通安全產品有關下載、安裝或使用的相關規範。

第3，草案增訂應符合資通安全責任等級的要求設置資通安全專職人員、強化並提升資通安全人員的專業知能，及重大資通安全事件的調度支援等規定；第4，增訂中央目的事業主管機關對特定非公務機關重大資通安全事件的調查權限。

數位發展部次長闕河鳴在行政院會後記者會時指出，這次修法非規範採購行為，而是規範使用情形，像是某個已被政府採購的產品，原先廠牌是美商或台商，但業者後續可能被併購，併購的國家如果將雲端伺服器放在中國可控制的地方，當地政府可取得雲端資料，那這採購產品就會成為危害資安產品。

闕河鳴表示，修法規範公務機關跟非特定公務機關使用上述產品，目的不是為了裁罰，而是降低使用風險，只規範不可使用的方式，而若公務機關因為某些原因，一定要使用被管制的產品或服務，可透過資安長以及上級資安長同意，報數位部備查，基本上就會同意。

闕河鳴表示，很多駐外單位因為當地電信服務，或陸委會可能需要使用跟中國有關資料庫，在現行制度已經運作順暢，這次修法只是把現行制度在法律內具體化，加強各公務機關資安意識以及資訊保障。

至於特定非公務機關的範圍，依法指的是關鍵基礎設施提供者、公營事業及政府捐助的財團法人。

數位部資安署長謝翠娟出席政院會後記者會時補充表示，重大資安事件指的是影響層面超過1個縣市政府範圍，或是受影響的資料對民眾過大；另外資安署針對機關的稽核結果，將定期送到立法院，並在網站上公布。

謝翠娟也說，需要觸碰機敏業務的資安人員，也將進行適任性查核，確認是否有犯罪記錄。