蔡其昌
選擇章節
第二條
本法之主管機關為行政院。
本法之主管機關為數位發展部。
立法說明
數位發展部業於民國111年8月27日成立,確保國家資通訊安全乃數位發展部之法定任務之一,配合行政院數位發展部成立,修正本條文文字,本法主管機關為數位發展部。
第四條
為提升資通安全,政府應提供資源,整合民間及產業力量,提升全民資通安全意識,並推動下列事項:
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作。
三、資通安全產業之發展。
四、資通安全軟硬體技術規範、相關服務與審驗機制之發展。
前項相關事項之推動,由主管機關以國家資通安全發展方案定之。
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作。
三、資通安全產業之發展。
四、資通安全軟硬體技術規範、相關服務與審驗機制之發展。
前項相關事項之推動,由主管機關以國家資通安全發展方案定之。
為提升資通安全,政府應提供資源,整合民間及產業力量,提升全民資通安全意識,並推動下列事項:
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作。
三、資通安全產業之發展。
四、資通安全軟硬體技術規範、相關服務與審驗機制之發展。
五、協助民間處理、因應及防範資通安全事件。
前項相關事項之推動,由主管機關以國家資通安全發展方案定之。
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作。
三、資通安全產業之發展。
四、資通安全軟硬體技術規範、相關服務與審驗機制之發展。
五、協助民間處理、因應及防範資通安全事件。
前項相關事項之推動,由主管機關以國家資通安全發展方案定之。
立法說明
一、增訂第一項第五款,要求政府應提供資源,協助民間處理、因應及防範資通安全事件,蓋根據最新報導,臺灣企業資安事故有增加的趨勢,單以今(2024)年上市櫃公司的狀況來看,一至二月的資安事件重大訊息就有9件,平均每月4.5件;去(2023)年則有23件(遭網路攻擊資安事故17件、其他與資安相關的事件6件),平均每月近1.9件。受害的產業相當廣泛,不僅是科技業、電子零組件,即便是藥局、汽車、自行車、觀光、化學、塑膠、生技都難以倖免。並且駭客攻擊的目標也不限於大企業,中、小企業也逐漸傳出災情,這些中小企業的資安水準存在一定的落差,相較於大企業,駭客反而無需使用更複雜的手法,但中、小企業卻將因此疲於奔命,營運受影響。鑒於我國超過九成屬於中小企業,其經營良窳和整體社會經濟能否穩定發展息息相關,爰此,新增規定要求政府應提供資源,協助民間處理、因應及防範資通安全威脅事件。
二、第二項未修正。
二、第二項未修正。
第九條
公務機關或特定非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。
公務機關或特定非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求選任適當之受託者,及要求受託者建立有效之資通安全管理機制;公務機關或特定非公務機關並應監督該機制之實施。
公務機關或特定非公務機關辦理前項委外業務,應與受託者簽訂書面契約,載明雙方之權利義務及違約責任。
為確保國家資通訊安全,主管機關應訂定前項書面契約範本供參。
公務機關或特定非公務機關辦理前項委外業務,應與受託者簽訂書面契約,載明雙方之權利義務及違約責任。
為確保國家資通訊安全,主管機關應訂定前項書面契約範本供參。
立法說明
一、修正第一項文字:為強化對受託者之資通安全管理要求,修正第一項文字,委託機關應要求受託者建立有效的資通安全管理機制,並加以監督該機制實施之效能。
二、新增第二項:為促使受託廠商加強資安風險管理,新增第二項規定,機關辦理資訊系統委外業務應訂立書面契約,明定權利義務和違約責任,藉由契約控管機關委外服務的資安風險。
三、新增第三項:鑒於數位發展部下設資通安全署,主責全國資安政策之統合管理,執行資安防護和演練作業,具有相當資安防護風險專業,爰此為確保國家資通訊安全,新增本項要求主管機關主管機關應就機關之資訊系統委外契約訂定範本,提供全國公務機關或本法所稱特定非公務機關參考之。
二、新增第二項:為促使受託廠商加強資安風險管理,新增第二項規定,機關辦理資訊系統委外業務應訂立書面契約,明定權利義務和違約責任,藉由契約控管機關委外服務的資安風險。
三、新增第三項:鑒於數位發展部下設資通安全署,主責全國資安政策之統合管理,執行資安防護和演練作業,具有相當資安防護風險專業,爰此為確保國家資通訊安全,新增本項要求主管機關主管機關應就機關之資訊系統委外契約訂定範本,提供全國公務機關或本法所稱特定非公務機關參考之。
第十條之一
公務機關、軍事機關及情報機關不得下載、安裝或使用危害國家資通安全產品;但公務機關因業務需求且無其他替代方案,經該機關資通安全長及第十二條上級或監督機關資通安全長核可,且經主管機關核定,得以專案方式使用。主管機關亦應列冊管理之。
公務人員獲配之公務用資通訊設備,不得下載、安裝或使用危害國家資通安全產品,並應遵守相關法令規範。
前二項所稱危害國家資通安全產品,其審查程序、風險評估、情資分享、使用限制及其他相關事項之辦法,由主管機關會商有關機關擬訂,報請行政院核定之。
公務人員獲配之公務用資通訊設備,不得下載、安裝或使用危害國家資通安全產品,並應遵守相關法令規範。
前二項所稱危害國家資通安全產品,其審查程序、風險評估、情資分享、使用限制及其他相關事項之辦法,由主管機關會商有關機關擬訂,報請行政院核定之。
立法說明
一、本條新增。
二、鑒於本法第二條第五款就公務機關定義,係指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關,據此,第一項明定公務機關、軍事機關及情報機關均不得下載、安裝或使用危害國家資通安全產品。另外,考量危害國家資通安全,有直接及間接造成危害風險;而資安攻擊亦有對核心系統與非核心系統的危害,風險高低不一,不宜硬性全面至禁止之,故有但書規定,公務機關有業務需求且無其他替代方案的情況下,應取得該機關的資安長和資安上級(監督)機關的資安長核可,以及主管機關核定,則可採專案的方式使用。
三、第二項明定公務人員獲配之公務用資通訊設備,不得下載、安裝或使用危害國家資通安全產品,並應遵守相關法令規範。
四、第三項明定危害國家資通安全產品的其審查程序、風險評估、情資分享、使用限制及其他相關事項,授權由主管機關訂定辦法。又「反滲透法」第二條滲透來源的實質控制者所提供或產生的產品亦屬危害國家資通安全產品,併此敘明。
二、鑒於本法第二條第五款就公務機關定義,係指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關,據此,第一項明定公務機關、軍事機關及情報機關均不得下載、安裝或使用危害國家資通安全產品。另外,考量危害國家資通安全,有直接及間接造成危害風險;而資安攻擊亦有對核心系統與非核心系統的危害,風險高低不一,不宜硬性全面至禁止之,故有但書規定,公務機關有業務需求且無其他替代方案的情況下,應取得該機關的資安長和資安上級(監督)機關的資安長核可,以及主管機關核定,則可採專案的方式使用。
三、第二項明定公務人員獲配之公務用資通訊設備,不得下載、安裝或使用危害國家資通安全產品,並應遵守相關法令規範。
四、第三項明定危害國家資通安全產品的其審查程序、風險評估、情資分享、使用限制及其他相關事項,授權由主管機關訂定辦法。又「反滲透法」第二條滲透來源的實質控制者所提供或產生的產品亦屬危害國家資通安全產品,併此敘明。
第十條之二
前條第一項公務機關自行或委外營運場所提供公眾視聽或使用之傳播設備及網際網路接取服務亦適用之。
立法說明
一、本條新增。
二、由於國內曾發生公共場域傳播設備遭駭客入侵,意圖以竄改網站內容、散播不實訊息等手段,達到認知作戰目的,調查發現是承包政府採購的廠商使用的軟體有問題,為避免公共看板遭駭客入侵,用假訊息造成社會混亂,新增本條規定,明定公務機關自行或委外營運場所提供公眾視聽或使用之傳播設備及網際網路接取服務,不得下載、安裝或使用危害國家資通安全產品。
二、由於國內曾發生公共場域傳播設備遭駭客入侵,意圖以竄改網站內容、散播不實訊息等手段,達到認知作戰目的,調查發現是承包政府採購的廠商使用的軟體有問題,為避免公共看板遭駭客入侵,用假訊息造成社會混亂,新增本條規定,明定公務機關自行或委外營運場所提供公眾視聽或使用之傳播設備及網際網路接取服務,不得下載、安裝或使用危害國家資通安全產品。
第十八條之一
中央目的事業主管機關對特定非公務機關下載、安裝或使用危害國家資通安全產品,得予以限制或禁止;特定非公務機關自行或委外營運場所提供公眾視聽或使用之傳播設備及網際網路接取服務,於維護資通安全之必要時,亦同。但因業務需求且無其他替代方案者,經該特定非公務機關資通安全長核可,函報中央目的事業主管機關核定後,得以專案方式使用,並列冊管理。
前項對特定非公務機關限制或禁止使用危害國家資通安全產品之管控措施,由中央目的事業主管機關訂定,報主管機關備查。
前項對特定非公務機關限制或禁止使用危害國家資通安全產品之管控措施,由中央目的事業主管機關訂定,報主管機關備查。
立法說明
一、本條新增。
二、配合新增第十條之一和第十條之二的規定,關於特定非公務機關,本條明定中央目的事業主管機關可基於維護國家資通安全考量,得限制或禁止其下載、安裝或使用危害國家資通安全的產品。
二、配合新增第十條之一和第十條之二的規定,關於特定非公務機關,本條明定中央目的事業主管機關可基於維護國家資通安全考量,得限制或禁止其下載、安裝或使用危害國家資通安全的產品。
