立法院通過制定「資通安全管理法」(臺灣)

2018.5.11
陳曉蓁 律師

立法院於民國107年5月11日通過「資通安全管理法」(下稱本法)。本法目的在積極推動國家資通安全政策,加速建構國家資通安全環境,以保障國家安全,維護社會公共利益。簡述立法重點如下:

本法主管機關為行政院(第2條)。本法適用之主體,包含公務機關與特定非公務機關。公務機關,是指依法行使公權力之中央、地方機關(構)或公法人,但不包括軍事機關及情報機關(第3條第5款)。特定非公務機關,指關鍵基礎設施提供者、公營事業及政府捐助之財團法人(第3條第5款)。其中的關鍵基礎設施,是指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域(第3條第7款)。而關鍵基礎設施提供者,則指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者(第3條第8款)。行政院將於核定後以書面通知適用本法之關鍵基礎設施提供者(第16條第1項)。

公務機關依本法應負擔之義務主要包含:符合其所屬資通安全責任等級之要求(第10條);設置資通安全長(第11條);制定資通安全維護計畫,逐年提報實施情形,並就實施缺失提出改善報告(第10、12、13條);就資通安全事件,應訂定通報及應變機制,並於知悉資通安全事件後通報,並提出資通安全事件調查、處理及改善報告(第14條)

關鍵基礎設施提供者依本法應負擔之義務主要包含:符合其所屬資通安全責任等級之要求(第16條第2項);制定並提報資通安全維護計畫,並就實施缺失提出改善報告(第16條第2~5項);就資通安全事件,應訂定通報及應變機制,並於知悉資通安全事件後通報,並提出資通安全事件調查、處理及改善報告(第18條)。至於關鍵基礎設施提供者以外之特定非公務機關,雖亦負制定資通安全維護計畫之義務,但無須主動提報,僅須在目的事業主管機關要求時提報實施情形及就實施缺失提出改善報告(第17條),其餘義務與關鍵基礎設施提供者相同。

本法第19~21條訂有相關罰則。特定非公務機關未依本法第18條第2項規定通報資通安全事件,可處30萬元以上500萬元以上罰款,屆期未改善者可按次處罰(第21條)。

本法於107年6月6日公佈,至本文完稿前尚未確定施行日期,行政院預計分階段施行,公務機關最先適用,其次為關鍵基礎設施提供者,最後為關鍵基礎設施提供者以外之特定非公務機關。本法授權之相關子法,包括《資通安全管理法施行細則》、《資通安全責任等級分級辦法》、《資通安全情資分享辦法》、《資通安全事件通報及應變辦法》、《特定非公務機關資通安全維護計畫》以及《公務機關所屬人員辦理資通安全業務獎懲辦法》等,亦將陸續制定。