資通安全管理法修正草案建議研討會

附 件

資通安全管理法修正草案總說明(數位發展部公告之附件)

資通安全管理法（本法）於 107 年 6 月 6 日制定公布，並於 108 年 1 月 1 日施行，迄今未曾修正。為因應數位發展部（數位部）於 111 年 8 月 27 日成立，掌理國家資通安全業務，並下設數位發展部資通安全署（資安署），掌理國家資通安全之規劃、推動與執行，以及為使本法規範事項更符合實務運作，爰擬具本法修正草案，其修正要點如下：

一、 修正本法之主管機關為數位部，並定明國家資通安全業務由資安署辦理。(修正條文第二條) 

二、 修正資通安全、資通安全事件、公務機關、特定非公務機關、關鍵基礎設施、關鍵基礎設施提供者及特定財團法人之定義。(修正條文第三條) 

三、 為建構我國資通安全整體環境，協調各政府機關、中央及地方間資通安全相關事務，健全我國整體資通安全管理，強化橫向溝通聯繫機制，將現行國家資通            安全會報入法明文化。(修正條文第五條) 

四、 擴大稽核範圍，增訂資安署得定期或不定期稽核公務機關及特定非公務機關之資通安全維護計 畫實施情形。(修正條文第八條) 

五、 強化各機關落實委外辦理資通系統建置、維運、服務提供之監督管理機制。(修正條文第十條) 

六、 增訂公務機關不得採購及使用危害國家資通安全產品。(修正條文第十一條) 

七、 修正公務機關資通安全維護計畫實施情形之收受機關及稽核機關。(修正條文第十四條及第十五條) 

八、 增訂公務機關之稽核發現有缺失時，稽核結果及改善報告之收受機關，以及該等機關得要求受稽核機關進行說明或調整之規定。(修正條文第十六條) 

九、 明定公務機關及特定非公務機關應配合資安署辦理資通安全事件通報及應變機制之演練作業授權項目。(修正條文第十七條及第二十四條) 

十、 增訂資安人員類一條鞭制度，重大資安事件資安署得調度各機關資通安全人員支援。(修正條文 第十八條) 

十一、 增訂中央目的事業主管機應公告指定關鍵基礎設施提供者之指定基準、廢止條件及程序之規定。(修正條文第十九條) 

十二、 增訂中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署之規定。(修正條文第二十條及第二十一條) 

十三、 增訂特定非公務機關應置資通安全長及應符合資通安全責任等級要求設置專職人員。(修正條文第二十條、第二十一條及第二十三條) 

十四、 為強化特定非公務機關重大資通安全事件應處，增訂中央目的事業主管機關行政調查之權限，受調查者不得規避、妨害或拒絕，並明定相關罰則，以精進               資通安全風險管理。(修正條 文第二十五條及第二十九條) 

十五、 增訂資安署及公務機關辦理本法所定事項委任、委託之依據，並定明委任、委託或複委託者之保密義務。(修正條文第三十條) 

十六、 增訂資通安全事件如涉個人資料檔案外洩，應另依個人資料保護法及其相關法令規定辦理。(修正條文第三十一條)