記者黃翠娟/台北報導
立法院會二十九日三讀修正通過資通安全管理法部分條文,明定公務機關不得下載、安裝、使用危害國家資通安全產品,公務機關得對資安人員適任性查核,特定非公務機關若未依規定通報資安事件最高可罰新台幣一千萬元。
行政院會去年通過資通安全管理法部分條文修正草案,擴大資安稽核範圍,並納入總統府與五院,並增訂納管機關對於危害國家資通安全產品有關下載、安裝或使用相關規範。立法院交通委員會今年五月初審通過資通安全管理法修正草案,並排入二十九日院會討論事項。
三讀通過條文明定,資通安全管理法主管機關為數位發展部,資安業務執行由數發部指定資安專責機關辦理。
條文增訂,公務機關不得下載、安裝或使用危害國家資通安全產品,並同步規範公務機關自行或委外營運場所的傳播設備、網路接取服務;若是業務需求且無替代方案,經機關資安長核可、報主管機關核定,得專案使用並列冊管理。
至於特定非公務機關,新法亦明定,若下載、安裝或使用危害國家資通安全產品,得予以限制或禁止,但若是業務需求且無替代方案,得專案使用並列冊管理。
為明確規範公務機關資通安全維護實施情形,三讀通過條文增訂,總統府、國安會、五院、縣市政府與議會等,向數發部提出資通安全維護計畫實施情形;至於直轄市山地原住民區公所及代表會,以及鄉鎮市公所及代表會,由直轄市、縣政府分層監管。
現行特定非公務機關發生資通安全事件若未依規定通報,可處三十萬元以上五百萬元以下罰鍰,並令限期改正,若屆期未改正則按次處罰。三讀通過條文則將罰鍰上限提升至一千萬元,並明定特定非公務機關所屬人員未依規定辦法,情節重大者,由該機關依規定懲處。
此外,三讀通過條文也增訂中央目的事業主管機關對於「特定非公務機關」的重大資安事件調查權範圍,包含要通知當事人或關係人到場陳述意見,且對於調查不得規避、妨礙或拒絕;目的事業主管機關得派員、委任或委託及其他機構實施必要檢查,受委託的機構若在檢查時獲悉秘密,不得洩漏。