※ 引述《jetalpha (月迷風影)》之銘言:
: ※ [本文轉錄自 Gossiping 看板 #1P_yievK ]
: 作者: eastbrook (布魯克) 看板: Gossiping
: 標題: [新聞] 政院推「資安法」 重大資安事件可進非
: 時間: Mon Nov 6 10:38:28 2017
: 1.媒體來源:
: ※ 蘋果及時
: 2.完整新聞標題:
: ※ 政院推「資安法」 重大資安事件可進非公務機關檢查
: 3.完整新聞內文:
: 立法院司法及法制委員會今天初審行政院送審的「資通安全管理法草案」,並邀請各部會
: 列席備詢。行政院副秘書長宋餘俠報告時指出,各先進國家莫不將資安議題提升至國家安
: 全層次,並制定專法加以規範,例如美國《聯邦資訊安全現代化法》、德國《資訊科技安
: 全法》、新加玻《網路安全法草案》等,在國際組織部分,歐盟亦通過《網路與資訊系統
: 安全指令》,其規範範圍更已涵蓋數位服務的範疇。
: 宋餘俠指出,推動「資通安全管理法」立法,希望加速建構國家資通安全環境,因台灣政
: 經情勢特殊,面對全球複雜多變的資通訊環境,以及日益嚴重的資通訊安全威脅,持續落
: 實並精進各項資通訊安全防護工作,實屬必要。宋餘俠指出,透過落實國家資安政策及推
: 動制定「資通安全管理法」的立法,可加速建構國家資通安全環境,來確保民眾生活福祉
: 、資安產業發展及整體國家安全。
: 根據行政院的書面報告,法案重點包括為明確政府善盡資安管理與防護責任,訂有行政檢
: 查項目,阻止資通安全事件進一步擴大。同時依法,因查核資通安全維護情形發現重大缺
: 失,或發生重大資通安全事件時,將能進入非公務機關執行檢查。修法條文明訂,行政院
^^^^^^^^^^
: 應訂定資通安全責任等級分級辦法,並得稽核非公務機關的資通安全維護情形;行政院應
^^^^^^^^^^
: 建立資通安全情資分享機制。(黃信維/台北報導)
: 4.完整新聞連結 (或短網址):
: ※ https://goo.gl/uermLM
這裡的「非公務機關」,不是泛指所有的民間公司,而是有特別名詞定義的,在草案的
第二條第五款裡有定義。
第二條 本法用詞,定義如下:
一、 資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他
處理、使用或分享之系統。
二、 資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使
用或分享相關之服務。
三、 資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、
破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
四、 公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍
事機關及情報機關。
五、 非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
六、 關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能
降低,對國家安全、社會公共利益、國民生活或 經濟活動有重大影響之虞,並經行
政院公告者。
七、 關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,依第十五條
第一項規定經中央目的事業主管機關或直轄市、縣(市)政府指定,並報行政院核
定之非公務機關。
前項第五款所稱政府捐助之財團法人,其範圍於施行細則中定之。
來源:行政院 https://goo.gl/vB4Vbk
所以,非公務機關有兩個來源,一個是指公營事業及政府捐助之財團法人,一個是關鍵
基礎設施提供者。公營事業或公股財團法人,要接受政府檢查比較沒有疑義,畢竟政府
是出資者。
另一個關鍵基礎設施提供者,定義上會有疑慮。參考火箭科技評論今年5月的文章:
https://goo.gl/nbdSZz
誰會是「關鍵基礎設施提供者」?
第二條的第六、七款「關鍵基礎設施」與「關鍵基礎設施提供者」中規定,只
要經政府指定核定後,就算是「關鍵基礎設施提供者」;然而政府依據什麼準
則來認定你是「關鍵基礎設施提供者」呢?
我想或許可能是依據行政院訂定之「國家關鍵基礎設施安全防護指導綱要」中
的「關鍵基礎設施分類」;在這部綱要中定義的「關鍵基礎設施」,範圍包括
水資源、能源、緊急醫療、交通運輸、資通訊、高科技園區、政府、金融經濟
等八大領域。
然而,在草案中所謂「關鍵基礎設施提供者」,是否如筆者所推想,是依照
「國家關鍵基礎設施安全防護指導綱要」所列為準,或是另有準則?這是有疑
慮的地方。
然後是最近的新聞
https://goo.gl/JpjLtu
行政院:資安法不納管 高科技園區廠商
行政院資通安全處今天表示,「資通安全管理法草案」規範範圍包括公務機關
及非公務機關,其中非公務機關是指關鍵基礎設施提供者等3類,並非所有民間
企業。
行政院資安處晚間發布新聞稿指出,行政院制定「資通安全管理法草案」,規範
範圍包括公務機關及非公務機關,其中非公務機關是指關鍵基礎設施提供者、公
營事業及政府捐助達一定比例的財團法人等3類。
行政院資安處表示,目前的關鍵基礎設施包括能源、水資源、通訊傳播、交通、
銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八大領域,
且是以風險管理的角度律定納管對象,後續會經過風險評估過程,確認有相當風
險,才會納管。
行政院資安處表示,上述「高科技園區」是指提供高科技園區基礎設施的系統
(如水、電、交通等),並非針對進駐園區的廠商;規範前者原因是希望提供進
駐園區廠商更安全可信賴的產業環境。
行政院資安處指出,近期某網路論壇故障事件,因此論壇非屬關鍵基礎設施,因
此非「資通安全管理法草案」管理範圍,也無涉行政檢查議題。
到底哪些機構/公營事業要算是「非公務機關」,應該在施行細則中仔細注意規範,但直
接把「非公務機關」等同於民間公司,然後說新法會侵犯秘密通訊自由,有些太過了。
後續還需要版友共同關注。