【行政院预告资安法6大子法草案】适法机关落实法遵的参考指引(上)
2018-07-16 12:36:31 | 来源:ithome | 投稿:米娜 | 编辑:dations

原标题:【行政院预告资安法6大子法草案】适法机关落实法遵的参考指引(上)

资安管理法6个子法,是为了补足资安管理法母法中,来不及详述的规范内容,通过资安法施行细则补足应该要如何制定资安维护计划,最重要的关键点就是,如何通过资安责任等级分级办法,将公务以及非公务机关依照业务以及系统的重要性,和牵涉范围是全球性、区域性、地区性等差异,依照重要性高低分成ABCD等4级,并首度订出一个不纳管的E级机关。(资料来源:行政院资安处,2018年7月)

延宕许久的《资通安全管理法》(简称《资安法》)终于在今年5月11日立法院三审过关,总统府也于6月6日正式公布该法。不过,《资安法》本身是一个提纲挈领的资安大原则,行政院资安处处长简宏伟表示,有许多更细部的规范,则有赖6个子法进一步阐述说明。

对此,行政院资安处也在今年7月9日,正式对外公布包括:《资通安全管理法施行细则草案》、《资通安全责任等级分级办法草案》、《资通安全事件通报及应变办法草案》、《特定非公务机关资通安全维护计划实施情形稽核办法草案》、《资通安全情报分享办法草案》以及《公务机关所属人员资通安全事项奖惩办法草案》等6个子法的草案内容,并依法对外预告60天。

简宏伟指出,在预告的二个月内,也会在八月和九月同步举办多场座谈会,如果各界对于子法有疑虑或建议,可以在公开的座谈会中提出相关的看法外,也可以上国发会“众开讲”的平台表达意见;在汇整各界意见后,则会将这6个资安法相关的子法,送交立法院备查。

《资安法》第23条规定,施行日期将由主管机关订定,简宏伟表示,依照子法预告以及规范适法机关所要面对的程序和作法,参照目前适法机关的准备时间,暂定将于2019年1月1日正式施行。

行政院资安处处长简宏伟表示,资安法的6个子法终于在7月9日对外预告,对于条文内容有意见或想法的民众,都可以在举办的座谈会中提出看法,也可以直接到国发会“众开讲”的公共平台表达意见。 (摄影/洪政伟)

根据母法资安法制定6大子法,资安处也会提供文件范本参考

《资安法》今年3月~5月时,举办二阶段、共计14场座谈会,也事先收集各界对于《资安法》及其6大子法的建议,而在7月9日,行政院针对6个资安法子法,进行为期60天的预告期间,也会在8月、9月陆续举办其他的座谈会。

简宏伟表示,除了持续搜集各界对于资安法子法的建议外,还会针对公务机关以及特定非公务机关,举办到底该如何因应资安法规范的座谈会,就是从实作面来看,希望让这些适用资安法的机关单位,可以知道后续在适法性上有哪些文件要准备、哪些作为要执行,未来,行政院资安处也会准备相关的程序和相关文件范本,作为机关的参考。

简宏伟表示,《资安管理法》就规定要明订6个子法,而《资通安全管理法施行细则草案》主要是,针对资通安全维护计划实施情形的稽核结果,提供相关的改善报告,包含委外和订制化系统的建置、维运和相关服务提供等,借由稽核或其他适当的方式,确认受委托的业务执行状况。

资安责任列公务员奖惩参考,“应做未做才罚”是核心精神

若以适用对象来看,资安法主要适用的对象,可以分成公务机关以及特定非公务机关,前者包含中央与地方政府以及公法人外,后者主要是以关键基础设施提供者、公营事业以及政府捐助的财团法人为主;其中,针对公务机关所属人员,也制定资通安全事项奖惩办法,就是希望可以提升公务人员对于维护资讯安全的责任和意识。

至于对于罚则的部份,有许多公务人员认为,许多机关在没人、没钱甚至长官不支持的前提下,将资安落实与否列为公务人员奖惩的范围,其实并不妥当,也无法收到正面效果。

简宏伟则重申,“应做未做的部份才会处罚,”并不是有出事、发生事情就会处罚,他认为,主管机关如果只会一昧指责、惩处这样的作法,对于提升适法机关的资安意识与强化资安相关的作为,并没有帮助。而人事总处也表示,未来这些资安相关的指标,都只是公务人员奖惩的参考之一,也降低公务人员的忧心。

资安事件通报依情节轻重,分成第一级~第四级

另外,机关落实资安法也可以分成“事前”、“事中”和“事后”有不同因应措施,并制定相对应的资安法子法作为应变的参考基准。

简宏伟表示,在“事前”,所有的适法机关一定要制定的规范,除了资安法施行细则中,针对公务机关以及特定非公务机关要求一定要制定的“资通安全维护计划”之外,就是针对如何订定通报应变机制而制定的《资通安全事件通报及应变办法草案》。

目前资通安全事件分成四级,依照事情的严重性,从轻到重,分别是第一级到第四级。第一级和第二级主要是非核心业务资讯系统,依照泄漏程度分轻重,这也是目前政府部门最常面对到的资安事件种类;第三级和第四级则通常会涉及到,核心业务资讯系统有没有遭到轻微或严重的资讯泄漏,轻微者列为第三级,严重者列为第四级。以去年度政府遭遇到的资安事件种类来看,政府机关还没有遭遇到第四级、最严重的资安事件。

资安事件的通报应变方式,一定都必须在“事前”完成规画与制定,一旦“事中”遇到第一级~第四级的资安事件时,才能够依照相关的通报应变办法进行通报。

?

资通安全事件分级一览表公务以及特定非公务机关发生资通安全事件,依照情节轻重分成第一级到第四级,如果是非核心业务资讯遭到泄漏,通常列为最轻微的第一级或第二级资安事件,这也是政府部门最常发生的资安事件类型;如果是核心业务资讯遭到外泄,轻微者列为第三级资安事件,严重者是第四级资安事件。去年政府还没发生第四级资安事件。资料来源:行政院资安处,2018年7月

?

?

公务机关资安事件通报应变流程公务机关如果发生资安事件,必须要在1小时内通报上级监督机关以及主管机关,资安事件等级重大者,必须在36小内;非重大者,则在72小时内,完成损害控制与复原状况资料来源:行政院资安处,2018年7月

?

?

《资通安全管理法》演进历程

?

?2015年5月21日?

资通安全管理法草案提出(由资通安全办公室召开资通安全管理法草案专家座谈会)

?

?2016年8月1日?

行政院资通安全处成立(取代资安办,成为政院资安专责机构,首任处长为简宏伟)

?

?2016年8月31日?

行政院资安处完成资安管理法草案初稿(9月将举办了6场法案座谈会,并上网征求全民意见)

?

?2017年4月27日?

行政院版的资通安全管理法草案通过(送请立法院审议)

?

?2017年11月6日?

立法院司法及法制委员会审查资通安全法草案(共有行政院、时代力量党团、亲民党团、民进党立委陈亭妃、余宛如、国民党立委许毓仁等6个版本)

?

?2018年5月11日?

资通安全管理法完成立院三审(六月中旬总统正式公布,正式施行日期由行政院另定)

?

?2018年6月6日?

总统府公布资通安全管理法

?

?2018年7月9日?

行政院预告《资通安全管理法施行细则草案》、《资通安全责任等级分级办法草案》、《资通安全事件通报及应变办法草案》、《特定非公务机关资通安全维护计划实施情形稽核办法草案》、《资通安全情报分享办法草案》以及《公务机关所属人员资通安全事项奖惩办法草案》等6个子法草案内容

?

?2018年8月~9月?

举办多场座谈会

?

?2018年9月6日?

资安法6个子法草案预告期满,文字条文修正后,送立法院备查

?

?2018年10月?

资安责任等级主管机关备查

?

?2019年1月1日?

暂定资安法管理正式施行

?

资料来源:行政院资安处,iTh-ome整理,2018年7月

?

?相关报道??资安法六大子法草案出炉:翻新责任分级架构,全套法遵执行要求曝光

?

?相关报道??资安法立院三审通过

tags:

上一篇  下一篇

相关:

【行政院预告资安法6大子法草案】适法机关落实法遵的参考指引(下)

在资安法6大子法中,行政院资安处处长简宏伟认为,最重要的子法,除了施行细则之外,就是“资通安全责任等级分级办法草案”,因为,机关的资安责任等级一旦分错,对于防护的强度就立即减弱,就可能对机关组织,带来

有垄断之嫌,新加坡主管机关可能否决Uber、Grab并购案

示意图,与新闻事件无关。 三月间Uber将东南亚业务出售给当地最大叫车服务业者Grab。不过新加坡主管机关认为双方合并有垄断市场可能,周四表示将否决这桩交易。新加坡竞争与消费者委员会(Competition△and△Consu

错手上载 YouTube!Sony 网管完整电影当预告片 | 香港 UNWIRE.HK 玩生活.乐科技

一般在网上看到的电影预告片,大概只有两三分钟,不过昨日电影公司 Sony Pictures Entertainment 就上载了可能是史上最长,达 1 小时 29 分 46 秒的“电影预告”到 YouTube,明显地这根本并非电影预告,而是一出货真

微软预告将推出新Windows容器映像档,抢先开放开发人员测试

图片来源: 微软 现今容器技术已对IT基础架构、软件开发流程产生巨大的影响,从Docker开始掀起这波热潮后,多家IT龙头分别响应支援,历经三、五年发展,现在已有越来越多企业,开始将容器部署在自家正式环境执行。在容

行李超重飙骂日地勤“白痴”!台湾大妈怒呛:我在行政院上班

法律法规网消息 没钱不要搭廉航?有网友在网络贴文,表示日前他在日本名古屋机场时,前方一位大妈因为行李超重,竟然大骂地勤“白痴”,其他人劝她别这样,她竟开始暴走,不但大呛“我在行政院上班

站长推荐: