2018年時曾經吵吵鬧鬧的《 資通安全管理法 》(資安法),現在要修法了。5 年過後再回頭看這部法,覺得它和民間私部門沒有太大的關係,在草擬這部法時沒有數位發展部(數位部),所以預設的主管機關是行政院,在當時的情況下,有些權責劃分很模糊,或是管理的層級也不清楚,有些單位無法明正言順的做事。現在有數位部了,藉這次修法把當時定義、層級弄清楚,也能那些原本負責的單位有依據做事,也加強所有政府各層級部門資通安全聯防、管理的機制。 預設讀這篇的都已讀過 修正草案的內容 ,所以就把自己看過後的重點整理以下,只有第11條是我覺得需要寫清楚或規範清楚的,其他就只是資料整理: 資安法的對象其實是 公務機關 和 特定非公務機關 ,所以有些企業會很擔心資安法會管到他們,除非他們是特定非公務機關,但修法後的對象非常清楚,建議可以再向請教自己公司的法遵部門。現行資安法裡的的公務機關定義擴及到公法人(國家、地方自治團體、行政法人),修正後只有到 行政法人 。修正後草案將特定非公務機關則依據《 財團法人法 》修正(現行僅政府補捐助的財團法人)。 修正法草案明確寫出這部法的層級及管轄的範圍與層級、資通安全事件的通報層級、稽核的管理,不會像以前一樣都模糊的寫主管機關。修正後就會明確的寫出主管機關的哪個單位。修法後也明確是由行政院公告關鍵基礎設施清單,而不是由主管機關(數位部)來決定哪些是關鍵基礎設施。 修正後新增:第5、8、11、23、25、29、31條 現行第6條移到第30條,讓所監督的行政法人名正言順的做事,例如(資通安全)國際交流合作,台灣政府部門間的資通安全分享與分析中心(ISAC)都有在進行國際交流,另外如2023年終於成立的國家資通安全研究院(資安院),就是行政法人。 修正後第9條:資通安全情資分享機制由主管機關變成資安署。原本政府的部門間、關鍵基礎設施之間都有資通安全分享與分析中心(ISAC),這次修法可能是讓資安署可以名正言順的全權管理ISACs之間的情資分享與管理機制。 修正後第23條:規範特定非公務機關應設資通安全長,人選由代表人、管理人優先於其他代表權人,或再指派適當人員擔任。 修正後第29條:特定非公務機關規避、防礙、拒絕接受調查者,處罰10萬元以上,100萬元以下罰鍰。 修正草案通過後可能會出現的問題: 修正後第10條:移除「委外應考量受託者之專業能力與經驗」,直接選任適當...
詩人們總說,當我們回到童年時代生活過的一幢房子,一座花園,剎那間就會找回從前的我們。~追憶似水年華(3) p.92