原标题:【最新公布】资通安全管理法草案全文(2016年10月13日版)
【资通安全管理法草案整体架构】本法以资通安全管理为核心,分为5个章节,计24条。资料来源:行政院资安处,2016年10月13日草案版本
图片来源:iThome
行政院资安处在10月初更新了资通安全管理法草案并上网公开徵集建议,一方面透过「众开讲」平台来汇集各界建议,另一方面也是要向民众说明为何政府要在此时推动资安管理法立法、资安专法参考了哪些美、日立法经验,以及17项资安专法立法重点,资安处说明全文整理如下:
随着资通科技的蓬勃发展,无线网路、行动装置、云端服务与智慧联网等新兴科技之使用,已然是每个人生活中重要的一环,随之而来的资通安全风险也大幅增加,资通安全也越来越受到重视。
参诸国际近年对于资通安全之保护,已逐渐以订立专法之方式加以规範,例如:美国的联邦资讯安全现代化法、网路安全法,日本的网路安全基本法等;在国际组织部分,欧盟近日亦甫通过网络暨资讯系统安全指令。于我国,在公务机关目前已设有资通安全推动单位与相关遵行规则,包括行政院及所属机关资讯安全管理要点、行政院及所属各机关资讯安全管理规範、国家资通安全通报应变作业纲要等,若能进一步透过专法之设立,赋予各机关资通安全维护义务之法律基础,将更能有效提昇我国公务机关之资通安全能量。
在私部门方面,目前我国虽有得适用于私部门之资通安全相关法制,例如,刑法电脑犯罪章针对电脑犯罪加以处罚、电信法对于通讯环境设备加以管制、个人资料保护法对于个资安全加以保护,及政府资讯公开法规範政府资讯之合理公开等,但各法之订定目的大相逕庭,切入之角度也各有不同。以风险管理为出发点,针对整体资通环境之法律位阶规定则尚待建立。此外,关键基础设施及部分其他非公务机关所提供之产品或服务,涉及国土安全之维护与民众生活之安全,其资通安全,也应被视为国家安全的一环,这更加深了应以专法加以规定,以进一步健全并强化我国资通安全法制的必要性。
基于上述之理由,我国实需一部针对整体资通环境,以风险管理为核心之资通安全管理专法,来降低并防範相关之资通安全风险,爰拟具「资通安全管理法」(以下简称本法)草案。资安处并列出了17项这次立法重点如下:
一、本法之立法目的及用词定义(草案第一条、第二条)二、政府应整合民间力量推动资通安全相关事项;行政院应擘画资通安全相关政策,并推动相关事务之执行,于必要时得将部分事务委任或委託其他公务机关、法人或团体办理之(草案第三条至第五条)。
三、行政院应订定资通安全责任等级分级办法,并查核所属或监督之各级公务机关或适用该办法之非公务机关之资通安全维护情形;受查核机关应就缺失或待改善事项完成矫正计画,并将计画送交予其上级或监督机关或中央目的事业主管机关。(草案第六条)四、行政院应建立资通安全情资分享机制,并就情资之分析、整合与分析之内容、程序、方法及其他事项,订定相关办法(草案第七条)。
五、公务机关及非公务机关,于本法适用範围内,委外办理资通系统或资通服务事宜时,应就受託者之资通安全维护为监督(草案第八条)。六、公务机关应由其首长指派副首长或适当人选担任机关之资通安全长,负责推动及监督机关内资通安全相关事项;公务机关并应考量其所属资通安全责任等级之要求及保有或处理之资讯种类等条件,订定、修正及实施资通安全维护计画,且应就计画之实施情形向上级或监督机关提出报告,无上级机关者,报告应送交行政院(草案第九条至第十一条)。
七、公务机关应查核其所属或监督机关之资通安全维护计画实施情形;受查核机关应就缺失或待改善事项完成矫正计画,并将计画送交上级或监督机关(草案第十二条)。八、公务机关应订定资安事件之通报及应变机制,并于事件发生时,依规定向上级机关、监督机关或行政院进行通报;事件后,应分别依规定向上级机关或行政院提出事件之调查、处理及改善报告;通报及应变机制之必要事项、通报之内容、报告之提出及其他相关事项之办法,由行政院定之。(草案第十三条)。九、公务机关就所属人员资通安全维护绩效应有适当之奖惩,其基準及其他相关事项,由行政院定之(草案第十四条)。
十、中央目的事业主管机关应指定关键基础设施提供者,并报请行政院核定;关键基础设施提供者应订定、修正、实施资通安全维护计画,并向中央目的事业主管机关提出计画之实施情形;如其实施经查核发现缺失,则应将矫正计画送交中央目的事业主管机关;以上资通安全维护计画、矫正计画,及其他相关事项,授权由中央目的事业主管机关定之。(草案第十五条)。
十一、适用资通安全责任等级分级办法之非公务机关,应订定、修正、实施资通安全维护计画,并应中央目的事业主管机关之要求,提出计画实施情形;如其实施经查核发现缺失,则应依要求将矫正计画送交中央目的事业主管机关;以上资通安全维护计画、矫正计画,及其他相关事项,授权由中央目的事业主管机关定之。(草案第十六条)。
十二、于本法适用範围内,非公务机关应制定通报及应变机制,并于事件发生时向中央目的事业主管机关进行通报;事件后,并应向中央目的事业主管机关提出事件之调查、处理及改善报告;如为重大资通安全事件时,报告并应送行政院;以上通报及应变机制之必要事项、通报内容、报告之提出及其他应遵行事项之办法,由行政院定之。(草案第十七条)。
十三、中央目的事业主管机关因查核资通安全维护计画发现重大缺失,或遇重大资通安全事件,认有必要时,得进入受查核之非公务机关场所检查;非公务机关及相关人员不得规避、妨碍或拒绝;参与检查之人员就因而知悉之他人秘密资讯,应负保密义务。(草案第十八条)
十四、于本法适用範围内,非公务机关违反本法关于资通安全维护计画之订定、修订及实施规定时之罚则。(草案第十九条)十五、于本法适用範围内,非公务机关违反本法规定,未进行资安事件通报时之罚则(草案第二十条)。十六、于本法适用範围内,非公务机关未依本法规定缴交资通安全维护计画实施情形、矫正计画、未订定通报及应变机制或送交事件调查、处理及改善报告时之罚则规定。(草案第二十一条)。于本法适用範围内,非公务机关无正当理由,规避、妨碍或拒绝中央目的事业主管机关之行政检查时之罚则。(草案第二十二条)。十七、本法施行细则及施行日期授权由行政院定之(草案第二十三条、第二十四条)。
?
?4张图快速认识资安法?
如何快速认识资通安全法草案的管理规範?可以从管理对象的责任和义务来看。需纳入资安法规範的对象,包括了公务机关和非公务机关,非公务机关又可分成两大类,一是关键基础设施提供者,另一类则是适用资安责任分级的非公务机关,可以用4张图来示意这3类机关的责任和义务。
?
资通安全管理法草案全文(2016年10月13日版)
第一章 总则
?第一条? 为积极推动国家资通安全政策,加速建构国家资通安全环境,带动资通安全产业发展,以确保国家安全、民众福祉,特制定本法。
?第二条?
本法用词,定义如下:
一、资通系统:指用以蒐集、控制、传输、储存、流通、删除资讯或对资讯为其他处理、使用或分享之系统。
二、资通服务:指与资讯之蒐集、控制、传输、储存、流通、删除、其他处理、使用或分享相关之服务。
三、资通安全:指防止资通系统或资讯遭受未经授权之存取、使用、控制、洩漏、破坏、修改、销毁或其他侵害,以确保其机密性、完整性及可用性。
四、公务机关:指依法行使公权力之中央、地方机关(构)或行政法人。
五、非公务机关:指公务机关以外之公营事业机构、其他法人或团体。
六、关键基础设施:指实体或虚拟资产、网路或系统等,其功能一旦停止运作或效能降低,对国民生活、经济活动、公众安全或国家安全有重大影响之虞者,其範围由行政院公告之。
七、关键基础设施提供者:指维运或提供关键基础设施之全部或一部,并经中央目的事业主管机关依第十五条第一项指定,并报行政院核定之非公务机关。
?第三条? 为提升资通安全,政府应提供资源,整合民间力量,提升全民资通安全意识,并推动下列事项:
一、资通安全专业人才之培育。
二、资通安全科技之研发、整合、应用、产学合作及国际交流合作之推动。
三、资通安全产业之发展及推动。
四、资通安全软体、设备技术规範、相关服务及审验机制之发展及推动。
?第四条? 行政院应擘划并推动国家资通安全政策、资通安全科技发展、国际交流合作及资通安全整体防护等相关事宜。
?第五条? 行政院得委任或委託其他公务机关、法人或团体,办理资通安全整体防护、国际交流合作及其他资通安全相关事务。
?第六条? 行政院应衡酌公务机关及非公务机关业务之重要性与机敏性、机关层级、保有或处理之资讯种类、数量、性质、资通系统之规模及性质等条件,订定资通安全责任等级之分级;其适用对象、分级基準、等级变更申请、义务内容、专职人员之设置及其他相关事项之办法,由行政院定之。
行政院得查核所属或监督之公务机关及适用前项办法之非公务机关之资通安全维护情形。
公务机关及非公务机关受前项之查核,经发现其资通安全有缺失或待改善者,应提出矫正计画,送交上级机关、监督机关或中央目的事业主管机关。
?第七条? 行政院应建立资通安全情资分享机制。
前项资通安全情资之分析、整合与分享之内容、程序、方法及其他相关事项之办法,由行政院定之。
?第八条? 公务机关或非公务机关,于本法适用範围内,委外办理资通系统之建置、维运或资通服务之提供,应考量受託者之专业能力与经验、委外项目之性质及资通安全需求,选任适当之受託者,并监督其资通安全维护情形。
第二章 公务机关资通安全管理
?第九条? 公务机关应符合其所属资通安全责任等级之要求,并考量其所保有或处理之资讯种类、数量、性质、资通系统之规模与性质等条件,订定、修正及实施资通安全维护计画。
?第十条? 公务机关应置资通安全长,由机关首长指派副首长或适当人员兼任,负责推动及监督机关内资通安全相关工作与事项。
?第十一条? 公务机关应于年度终了后,向上级或监督机关提出资通安全维护计画之实施情形;无上级机关者,其资通安全维护计画之实施情形应送交行政院。
?第十二条? 公务机关应查核其所属或监督公务机关之资通安全维护计画实施情形。
受查核机关之资通安全维护计画实施有缺失或待改善者,应提出矫正计画,送交上级或监督机关。
?第十三条? 公务机关为因应资通安全事件,应订定通报及应变机制。
公务机关发生资通安全事件时,除应通报上级或监督机关外,并应通报行政院;无上级机关者,应通报行政院。
公务机关应向上级或监督机关提出资通安全事件调查、处理及改善报告,并送交行政院;无上级机关者,应送交行政院。
前三项通报及应变机制之必要事项、通报内容、报告之提出及其他相关事项之办法,由行政院定之。
?第十四条? 公务机关所属人员对于机关之资通安全维护绩效优良者,应予奖励。
公务机关所属人员未遵守本法相关资通安全义务,致国家或社会受有重大损害时,除依法追诉行为人相关法律责任外,并应追究行为人、其服务机关资通安全长及相关人员之行政责任。
前二项奖惩基準及其他相关事项之办法,由行政院定之。 :EN-US;mso-fareast-language: ZH-TW;mso-bidi-language:AR-SA' 前三项通报及应变机制之必要事项、通报内容、报告之提出及其他相关事项之办法,由行政院定之。
第三章 非公务机关资通安全管理
?第十五条? 为确保国民生活、经济活动、公众或国家之安全,中央目的事业主管机关应指定关键基础设施提供者,并报请行政院核定之。
关键基础设施提供者应考量其所保有或处理之资讯种类、数量、性质、资通系统之规模与性质等条件,订定、修正及实施资通安全维护计画。
关键基础设施提供者应向中央目的事业主管机关提出资通安全维护计画之实施情形。
中央目的事业主管机关应查核关键基础设施提供者之资通安全维护计画实施情形。
关键基础设施提供者之资通安全维护计画实施有缺失或待改善者,应提出矫正计画,送交中央目的事业主管机关。
第二项至第五项之资通安全维护计画必要事项、实施情形之提出、查核之频率、内容与方法、矫正计画之提出及其他应遵行事项之办法,由中央目的事业主管机关定之。
?第十六条? 除前条情形外,适用第六条第一项办法之非公务机关,应符合其所属资通安全责任等级之要求,并考量其所保有或处理之资讯种类、数量、性质、资通系统之规模与性质等条件,订定、修正及实施资通安全维护计画。
中央目的事业主管机关得要求前项非公务机关,提出资通安全维护计画之实施情形。
中央目的事业主管机关得查核第一项非公务机关之资通安全维护计画实施情形,发现有缺失或待改善者,应限期要求受查核之非公务机关提出矫正计画。
前三项之资通安全维护计画必要事项、实施情形之提出、查核之频率、内容与方法、矫正计画之提出及其他应遵行事项之办法,由中央目的事业主管机关定之。
?第十七条? 前二条之非公务机关为因应资通安全事件,应订定通报及应变机制。
前项之非公务机关于发现资通安全事件时,应向中央目的事业主管机关通报。
第一项之非公务机关,应向中央目的事业主管机关提出资通安全事件调查、处理及改善报告;如为重大资通安全事件者,并应送交行政院。
前三项通报及应变机制之必要事项、通报内容、资通安全事件调查、处理报告、矫正计画之提出及其他应遵行事项之办法,由行政院定之。
发现重大资通安全事件时,行政院或中央目的事业主管机关得公告与事件相关之必要内容及因应措施,并得提供相关之协助。
?第十八条? 中央目的事业主管机关因查核资通安全维护情形发现重大缺失,或遇重大资通安全事件,而认有必要时,得派员携带执行职务证明文件,进入第十五条及第十六条之非公务机关场所检查,并得命相关人员为必要之说明、配合措施或提供相关证明资料。
对于前项之检查,非公务机关及其相关人员无正当理由不得规避、妨碍或拒绝。
参与检查之人员,对于因检查而知悉之他人应秘密之资讯,负保密义务。
第四章 罚则
?第十九条? 非公务机关有下列情形之一者,由中央目的事业主管机关限期改正,届期未改正者,按次处新台币十万元以上二百万元以下罚锾:
一、未依第十五条第二项或第十五条第六项授权订定之办法,订定、修正或实施资通安全维护计画。
二、未依第十六条第一项或第十六条第四项授权订定之办法,订定、修正或实施资通安全维护计画。
?第二十条? 非公务机关未依第十七条第二项或第十七条第四项所授权订定之办法,于发现资通安全事件时,向中央目的事业主管机关通报,由中央目的事业主管机关处新台币十万元以上一百万元以下罚锾,并令限期改正;届期未改正者,按次处罚之。
?第二十一条? 非公务机关有下列情形之一者,由中央目的事业主管机关限期改正,届期未改正者,按次处新台币五万元以上五十万元以下罚锾:
一、未依第十五条第三项、第十五条第六项授权订定之办法、第十六条第二项或第十六条第四项授权订定之办法,向中央目的事业主管机关提出资通安全维护计画实施之情形。
二、未依第十五条第五项、第十五条第六项授权订定之办法、第十六条第三项或第十六条第四项授权订定之办法,提出矫正计画送交中央目的事业主管机关。
三、未依第十七条第一项或第十七条第四项所授权订定之办法,订定资通安全事件之通报及应变机制。
四、未依第十七条第三项或第四项授权订定之办法,向中央目的事业主管机关提出资通安全事件之调查、处理及改善报告,或于重大资通安全事件之情形,未将报告送交行政院。
?第二十二条? 非公务机关无正当理由违反第十八条第二项规定者,由中央目的事业主管机关处新台币二万元以上二十万元以下罚锾。
第五章 附则
?第二十三条? 本法施行细则,由行政院定之。
?第二十四条? 本法施行日期,由行政院定之。
?相关报导??资安管理法草案出炉
相关:
▲最新异形独占海报,并以正面示人。经典科幻惊悚片《异形》,将于明年重返大银幕,并由大导雷利史考特回归执导,而最新的《异形:圣约》,也公开首张海报视觉。首张海报以经典“异形”图像正面示人,英文文案更仅写
Akamai公布第三季全球资安报告,DDoS攻击次数较去年同期增长 71%
Akamai公布第三季网路安全报告 图片来源: Akamai 根据Akamai公布《2016 年第三季网际网路现状-安全报告》显示,自去年第三季以来DDoS攻击次数增加了71%,而且超过100Gbps大规模的DDoS攻击,也较去年同期增加了138
导语:延迟退休年龄最新规定2016:延迟退休方案年内推出,或2022年实施,延迟退休将会小步慢走,逐步到位区分对待,分步实施。 2016年延迟退休最新消息:方案...延退来了!渐进式延迟退休政策年内或将公布延退来了!渐进式延迟
图片来源: Facebook 脸书(Facebook)创办人暨执行长祖克柏(Mark Zuckerberg)上周六(11/19)公布了该站对于假新闻的处理办法,以回应外界对于脸书纵容假新闻的指责。上周脸书与Google相继宣布拒绝提供广告服务予专
北极星药业-KY于美国放射肿瘤学协会公布最新研究结果,显示ADI-PEG 20可选择性的提高放射对因精氨基琥珀酸合成(酉每)缺乏症而引起的胰脏癌治疗效果。苹果电脑前执行长贾伯斯、知名音乐人梁弘志都因胰脏癌病逝;胰脏