資安管理法 電信等八大行業納管

　為加強資安防護，行政院周四（27日）拍板「資通安全管理法草案」，首波鎖定能源、交通運輸、金融、資通訊、高科技園區等八大關鍵基礎設施提供者納管，被主管部會指定的公民營企業須投入更高成本增加資安人力及設備，訂定資通安全防護計畫，且定期演練。

　過去大陸網軍把台灣當做網路攻擊的試驗場，去年一銀ATM遭盜領，今年又連續發生券商集體遭駭，使得國內資安問題更加受到關注，因此行政院去年成立資安處，並訂定資通安全管理專法。

　資安處長簡宏偉表示，這次專法適用對象有三大塊，一為政府部會等公務機關；二、8大關鍵基礎設施提供者，由中央部會提出清單納管；三、非關鍵基礎設施之公營事業及政府捐補助財團法人。

　至於資安事件等級仍分ABC三級，政院也應建立資通安全情資分享機制，讓資安事件處理及防護與供各單位分享。

　為強化政府資安意識，強制每一部會指派副首長或適當人選擔任資通安全長，負責推動及監督機關內資通安全事項；至非公務機關，是否設立資通安全長，簡宏偉說，取決組織需求，並不強制。

　外交部領事局日前被駭相當嚴重，這次明訂公務機關應訂定資安事件通報及應變機制，事件發生時需向上級機關、監督機關或政院通報，並提事件調查、處理及預防等報告，通報及應變機制內容，授權行政院訂定。

　除政府機關外，將八大關鍵基礎設施提供者優先納管，分類參考國土辦做法，包括能源、水資源、通訊傳播、交通運輸、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八類。政院說，關鍵基礎設施例如中華電信、電廠、銀行等，影響公共利益甚大，授權主管部會指定清單納管，並報行政院核定。

　未來適用專法納管的關鍵基礎設施業者，必須訂定、修正、實施資通安全維護計畫，並定期演練；一旦發生資安事件，必須訂通報或應變機制，屬重大資安事件報告需呈報政院。若銀行、券商、保險業、電信商等非公務對象，若未依法訂定資通安全維護計畫，將處10～200萬元罰鍰。