《資通安全管理法》今年5月三讀通過,行政院將實施日期訂在明年元旦。未來經行政院認定的8大關鍵基礎設施提供者,包括電信商及銀行業,都應提報相關資安維護計畫,若隱匿資安事件最高處以500萬元重罰。
《資安法》優先鎖定公務機關、公營事業及政府捐補助的財團法人,並廣納能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關,以及高科技園區8大領域的關鍵基礎設施提供者,都須向政府提報資安維護計畫,且發生資安事件時,應立即通報中央目的事業主管機關,藉此強化我國資安防護網。
「關鍵基礎設施提供者」在三讀時定義為實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,「經行政院定期檢視並公告之領域」。關鍵基礎設施提供者由中央目的事業主管機關負責,將徵詢公務機關、民間團體及學者專家意見後,再報請行政院核定,接著才通知有義務擔負資安維護單位。
《資安法》涵蓋民間企業,但範圍限縮在「特定非公務機關」,包括關鍵基礎設施提供者、公營事業及政府捐助達一定比例的財團法人。新法規定,特定非公務機關因應資通安全事件應訂定通報及應變機制,在知悉資通安全事件時,應向主管機關通報,並向主管機關提出資通安全事件調查、處理及改善報告,如為重大資通安全事件則應送交行政院。
(工商時報/張語羚)