延宕許久的《資通安全管理法草案》,是民進黨團列為優先的法案之一,在5月11日召開的立法院院會中,依照民進黨送進委員會的資通安全法草案版本進行審查,順利完成三讀程序。
一般而言,立法院完成三讀的條文,會在一個月內送交總統宣讀,之後就正式實施。而根據《資通安全管理法》第23條規定,正式施行日期將由資安主管機關行政院另外訂定公布。
目前,行政院資安處也與法規會確認,總統公布後6個月內就會正式施行,而第一階段適用的公務機關,就只有半年的準備期。假設母法在6月1日公布,最遲12月1日實施,公務機關也將在12月1日開始適用。
行政院資安處處長簡宏偉指出,在2017年4月27日,行政院院會已經通過行政院版的《資通安全管理法草案》,並於5月進到立法院完成一讀程序,而迄今一年的時間,之所以能夠順利完成三讀程序,也是因為各界對於資安的重要性都有共識,加上《資通安全管理法》已經是國家發展資安重要的法規基礎,主管機關更可以據此規範攸關民眾權益的關鍵基礎設施業者,要求他們具有足夠的資安防護水準,「《資通安全管理法》是臺灣資安發展重要的里程碑。」簡宏偉說。
簡宏偉強調,《資通安全管理法》立法通過後,三種機關類別將分梯次適用該法的規範。首先,包括中央政府和地方政府的公務機關,是最先適用資安管理法的規範,適用日期將訂在該法通過後的6個月生效;其他提供關鍵基礎設施服務的產業業者,則是在該法通過後的12個月才開始適用資安管理法。
至於其他非關鍵基礎設施提供者的公營事業,或者是政府捐助達一定比例的財團法人,則在資安法最後一波的適用對象,在立法通過後的18個月才生效;他指出,資安處也會在資安法通過後的24個月後,蒐集資安法適用過程中的所有狀況,並會再進行全盤的檢討。
他提到,行政院資安處將依法繼續制定相關的《資通安全管理法施行細則》、《資通安全責任等級分級辦法》、《資通安全情資分享辦法》、《資通安全事件通報及應變辦法》、《特定非公務機關資通安全維護計畫》以及《公務機關所屬人員辦理資通安全業務獎懲辦法》,同時,持續對外界說明和溝通《資通安全管理法》,也是資安處重要的責任之一。
立法院這次通過的《資通安全管理法》中,主要是依據民進黨之前進行委員會審查的版本進行審查,首先是刪除原先第18條「行政檢查權」條文,行政機關將無法到受駭的關鍵基礎設施業者場域,進行資安事件調查或是預防資安事件擴大,當中更明定,資安法的主管機關就是行政院,同時在條文裡面,規範應該如何指定關鍵基礎設施的程序。
政府目前規定有八大關鍵基礎設施,包括:政府機關、電廠、金融業、水公司和交通設施,而根據新版《資通安全管理法》規定,未來,將由中央目的事業主管機關,徵詢產官學研各方意見後,才可以指定關鍵基礎設施業者,相關名單除了要報請主管機關核定,也必須以書面通知受核定單位。至於,原先在委員會條文中,希望可以將核定名單送到立法院備查一事,則予以取消。
為了促使受駭的特定非公務機關發生重大資安事件時,應該主動向中央目的事業主管機關進行通報,避免知情不報的狀況發生,在《資通安全管理法》第21條中規定,除了維持原先沒有落實資通安全維護計畫,相關單位會被處罰10萬到100萬元外,對於資安事件知情不報者,更採取加重處罰的手段,罰鍰從原先的10萬到100萬元,提高到30萬到500萬元不等,並規定限期改正。
另外,民進黨立委余宛如也提醒,國家的資通安全,不能只單靠一部《資通安全管理法》,需要透過一套完整系統,涵蓋範圍從標準到人才養成,以及資安觀念的提升,才能真正提升國家的資安環境。她也說,目前的通過的法案版本是各方妥協下的產物,行政院資安處也應該繼續持續對外溝通,消除各界對資安法的疑慮與不了解。
2012年10月1日
臺灣 新版個人資料保護法正式上路
個人資料保護法是由「電腦處理個人資料保護法」修法而來,2010年時修正為個人資料保護法。
2013年11月15日
馬來西亞個人資料保護法正式施行
是東協十國中首個實施相關法規的國家。
2014年
美國公布更新版美國聯邦資訊安全現代化法
這是繼2002年FISMA實作計畫開始後的重大修訂。
2014年11月
日本國會通過網路資訊安全基本法
這是繼2001年1月公佈實施IT基本法後的新資安管理法。
2015年5月21日
臺灣 資通安全管理法草案提出
由行政院資通安全辦公室召開資通安全管理法草案專家座談會。
2015年7月
德國聯邦議會通過資訊科技安全法
由多部法律之修正條文結合而成,主要針對關鍵基礎設施資訊安全,及保護公民的網路安全。
2015年12月18日
美國國會通過更新版網路安全法
安全資訊分享法的修正案,目標建立一個網路安全資訊的分享框架,以獲得早期預警。
2016年3月15日
臺灣 個人資料保護法修正案開始施行
個資法實施3年後,為了讓個資法的施行,更能符合社會現況,修正原先窒礙難行的法條規範。
2016年4月27日
歐洲議會通過歐盟通用資料保護規則(GDPR)
在歐盟制訂個人資料保護綱領後,所要推動的新法。
2016年8月1日
臺灣 行政院資通安全處成立
取代資通安全辦公室,層級提升,成為政院資安專責機構,首任處長為簡宏偉。
2016年8月8日
歐盟通過網路及資訊系統的安全準則
歐盟首個網路安全法令,對於境內關鍵基礎建設與數位服務提供者,在資訊交換和共通安全要求上,有基本規畫和執行能力。
2016年8月31日
臺灣 行政院資安處完成資安管理法草案初稿
後續舉辦6場法案座談會,並上網徵求全民意見。
2016年11月7日
中國通過中華人民共和國網路安全法
將散落在各種規章的網路安全規範,透過立法的方式,確保網路空間的自主權利。
2017年4月27日
臺灣 行政院版資通安全管理法草案通過
將送請立法院審議。
2017年5月30日
日本政府個資法修正案開始施行
修正重點包含強化個資保護規範內容,以強化2005年4月施行的日本個資法。
2017年6月1日
中國網路安全法正式上路
將網路空間視為主權的延伸,具有完全的控管權利,如同領海、領土和領空。
2017年7月
新加坡政府公布網路安全法規之草案
新安全法規旨在維護關鍵基礎設施,保障國家網路安全。
2017年9月4日
英國政府公布新資料保護法草案
取代1998年的舊版資料保護法,並避免與歐盟GDPR存在太多差異,而造成混淆。
2017年11月6日
臺灣 立法院司法及法制委員會審查資通安全管理法草案
針對6個資安管理法草案版本進行公開詢答,從各方反應的意見與討論,加速法案的審查進度。
2018年5月11日
臺灣 資通安全管理法完成立法院三讀
經三讀程序後,預計六月中旬總統正式公布,才能生效施行,而正式施行日期由行政院另定。
2018年5月25日
歐盟GDPR正式實施
是近年來影響全球資料保護作為最大的法規。
資料來源:iThome整理,2018年5月