※ 引述《jetalpha (月迷风影)》之铭言:
: ※ [本文转录自 Gossiping 看板 #1P_yievK ]
: 作者: eastbrook (布鲁克) 看板: Gossiping
: 标题: [新闻] 政院推“资安法” 重大资安事件可进非
: 时间: Mon Nov 6 10:38:28 2017
: 1.媒体来源:
: ※ 苹果及时
: 2.完整新闻标题:
: ※ 政院推“资安法” 重大资安事件可进非公务机关检查
: 3.完整新闻内文:
: 立法院司法及法制委员会今天初审行政院送审的“资通安全管理法草案”,并邀请各部会
: 列席备询。行政院副秘书长宋余侠报告时指出,各先进国家莫不将资安议题提升至国家安
: 全层次,并制定专法加以规范,例如美国《联邦资讯安全现代化法》、德国《资讯科技安
: 全法》、新加玻《网络安全法草案》等,在国际组织部分,欧盟亦通过《网络与资讯系统
: 安全指令》,其规范范围更已涵盖数位服务的范畴。
: 宋余侠指出,推动“资通安全管理法”立法,希望加速建构国家资通安全环境,因台湾政
: 经情势特殊,面对全球复杂多变的资通讯环境,以及日益严重的资通讯安全威胁,持续落
: 实并精进各项资通讯安全防护工作,实属必要。宋余侠指出,透过落实国家资安政策及推
: 动制定“资通安全管理法”的立法,可加速建构国家资通安全环境,来确保民众生活福祉
: 、资安产业发展及整体国家安全。
: 根据行政院的书面报告,法案重点包括为明确政府善尽资安管理与防护责任,订有行政检
: 查项目,阻止资通安全事件进一步扩大。同时依法,因查核资通安全维护情形发现重大缺
: 失,或发生重大资通安全事件时,将能进入非公务机关执行检查。修法条文明订,行政院
^^^^^^^^^^
: 应订定资通安全责任等级分级办法,并得稽核非公务机关的资通安全维护情形;行政院应
^^^^^^^^^^
: 建立资通安全情资分享机制。(黄信维/台北报导)
: 4.完整新闻连结 (或短网址):
: ※ https://goo.gl/uermLM
这里的“非公务机关”,不是泛指所有的民间公司,而是有特别名词定义的,在草案的
第二条第五款里有定义。
第二条 本法用词,定义如下:
一、 资通系统:指用以蒐集、控制、传输、储存、流通、删除资讯或对资讯为其他
处理、使用或分享之系统。
二、 资通服务:指与资讯之蒐集、控制、传输、储存、流通、删除、其他处理、使
用或分享相关之服务。
三、 资通安全:指防止资通系统或资讯遭受未经授权之存取、使用、控制、泄漏、
破坏、窜改、销毁或其他侵害,以确保其机密性、完整性及可用性。
四、 公务机关:指依法行使公权力之中央、地方机关(构)或公法人。但不包括军
事机关及情报机关。
五、 非公务机关:指关键基础设施提供者、公营事业及政府捐助之财团法人。
六、 关键基础设施:指实体或虚拟资产、系统或网络,其功能一旦停止运作或效能
降低,对国家安全、社会公共利益、国民生活或 经济活动有重大影响之虞,并经行
政院公告者。
七、 关键基础设施提供者:指维运或提供关键基础设施之全部或一部,依第十五条
第一项规定经中央目的事业主管机关或直辖市、县(市)政府指定,并报行政院核
定之非公务机关。
前项第五款所称政府捐助之财团法人,其范围于施行细则中定之。
来源:行政院 https://goo.gl/vB4Vbk
所以,非公务机关有两个来源,一个是指公营事业及政府捐助之财团法人,一个是关键
基础设施提供者。公营事业或公股财团法人,要接受政府检查比较没有疑义,毕竟政府
是出资者。
另一个关键基础设施提供者,定义上会有疑虑。参考火箭科技评论今年5月的文章:
https://goo.gl/nbdSZz
谁会是“关键基础设施提供者”?
第二条的第六、七款“关键基础设施”与“关键基础设施提供者”中规定,只
要经政府指定核定后,就算是“关键基础设施提供者”;然而政府依据什么准
则来认定你是“关键基础设施提供者”呢?
我想或许可能是依据行政院订定之“国家关键基础设施安全防护指导纲要”中
的“关键基础设施分类”;在这部纲要中定义的“关键基础设施”,范围包括
水资源、能源、紧急医疗、交通运输、资通讯、高科技园区、政府、金融经济
等八大领域。
然而,在草案中所谓“关键基础设施提供者”,是否如笔者所推想,是依照
“国家关键基础设施安全防护指导纲要”所列为准,或是另有准则?这是有疑
虑的地方。
然后是最近的新闻
https://goo.gl/JpjLtu
行政院:资安法不纳管 高科技园区厂商
行政院资通安全处今天表示,“资通安全管理法草案”规范范围包括公务机关
及非公务机关,其中非公务机关是指关键基础设施提供者等3类,并非所有民间
企业。
行政院资安处晚间发布新闻稿指出,行政院制定“资通安全管理法草案”,规范
范围包括公务机关及非公务机关,其中非公务机关是指关键基础设施提供者、公
营事业及政府捐助达一定比例的财团法人等3类。
行政院资安处表示,目前的关键基础设施包括能源、水资源、通讯传播、交通、
银行与金融、紧急救援与医院、中央与地方政府机关、高科技园区等八大领域,
且是以风险管理的角度律定纳管对象,后续会经过风险评估过程,确认有相当风
险,才会纳管。
行政院资安处表示,上述“高科技园区”是指提供高科技园区基础设施的系统
(如水、电、交通等),并非针对进驻园区的厂商;规范前者原因是希望提供进
驻园区厂商更安全可信赖的产业环境。
行政院资安处指出,近期某网络论坛故障事件,因此论坛非属关键基础设施,因
此非“资通安全管理法草案”管理范围,也无涉行政检查议题。
到底哪些机构/公营事业要算是“非公务机关”,应该在施行细则中仔细注意规范,但直
接把“非公务机关”等同于民间公司,然后说新法会侵犯秘密通讯自由,有些太过了。
后续还需要版友共同关注。