資通安全管理法修正說明及對適用機關之影響

12/30/2021

---

資通安全管理法（下稱「資安法」）於107年6月6日公布，108年1月1日起施行，而資安法施行細則及相關子法則於108年1月1日起陸續施行，迄今業近3年，為強化各機關之資通安全防護，回應實務運作需求，行政院爰進一步就資安法施行細則及其子法部分條文為修正並於110年8月23日公布施行。以下即就110年8月23日公布施行之資安法施行細則及其子法部分修正條文重點為說明並析述前開修正對適用機關之影響。

資安法相關法規架構

資安法規範公務機關及特定非公務機關（即關鍵基礎設施提供者、公營事業及政府捐助之財團法人）資通安全管理應遵循事項及違反之罰則；資安法施行細則則就資安法應遵循事項之具體內容、應注意事項及重要名詞為進一步定義及規範；資安法之以下各子法則將資安法較上位之法律政策，具體化為各項執行方案：

       1.      資通安全責任等級分級辦法：

此辦法將公務機關及特定非公務機關之資通安全責任等級分為A、B、C、D及E五個等級，並就各級公務機關及特定非公務機關管理面、技術面及認知及訓練面三方面應辦事項為規範。

       2.      資通安全事件通報及應變辦法：

此辦法具體規範公務機關及特定非公務機關知悉資通安全事件後所應採取之措施及時限。

       3.      特定非公務機關資通安全維護計畫實施情形稽核辦法

此辦法就主管機關（即行政院）每年稽核擇定之特定非公務機關資通安全維護計畫實施情形之稽核小組設置、稽核流程、稽核結果報告內容等為規範。

       4.      資通安全情資分享辦法

此辦法針對公務機關、特定非公務機關中央目的事業主管機關間關於資通安全情資（如：資通系統之惡意偵察或情蒐活動、資通系統之安全漏洞、資通安全事件造成之實際損害或可能產生之負面影響等）之分析、整合與分享之內容、程序、方法等相關事宜為規範。

       5.      公務機關所屬人員資通安全事項獎懲辦法

此辦法提供公務機關就其所屬人員辦理業務涉及資通安全事項之獎懲自行訂定獎懲基準之依據。

資安法施行細則及資通法子法110年8月23日公布施行之部分修正條文重點及可能影響

       1.      資安法施行細則

本次修正主要就資安法施行細則第6條第6款、同條第2項及第7條第4款進行修正。其中資安法施行細則第6條第2項之修正新增公務機關須「經其上級或監督機關同意」始得由上級、監督機關或前開機關「所屬公務機關」辦理資通安全維護計畫之訂定、修正、實施及實施情形之提出事項；另新增特定非公務機關須「經其中央目的事業主管機關同意」始得由中央目的事業主管機關、中央目的事業主管機關所屬公務機關或中央目的事業主管機關所管特定非公務機關辦理資通安全維護計畫之訂定、修正、實施及實施情形之提出事項。

修法影響

本次修正賦予公務機關之上級或監督機關同意權，針對原應由公務機關辦理之事項，決定是否同意由上級、監督機關或前開機關所屬公務機關辦理，另賦予特定非公務機關之中央目的事業主管機關同意權，針對原應由特定非公務機關辦理之事項，決定是否同意由中央目的事業主管機關、中央目的事業主管機關所屬公務機關或中央目的事業主管機關所管特定非公務機關辦理。此修正使公務機關之上級或監督機關及特定非公務機關之中央目的事業主管機關就資通安全維護計畫之訂定、修正、實施及實施情形之提出事項有更多主導權，以監督公務機關及非公務機關之規劃及執行。

       2.      資通安全責任等級分級辦法（下稱「分級辦法」） 

本次修正，關於分級辦法本文主要為用語之釐清（第5及7條）外，另就各機關自行或委外採購、設置，該等具權限區分及管理功能之資通系統之資安風險仍應進行較高之管控作為，爰於第6條明訂資通安全責任等級宜應列為C級。

本此修正另針對分級辦法第11條之以下附表進行修正：

                2.1.      附表一至附表六：

2.1.1.      刪除限制使用危害國家資通安全產品之辦理內容，後續將由主管機關透過跨部會協調平臺與各機關溝通推動危害國家資通安全產品之限制使用事宜。

2.1.2.     資通安全責任等級為A級、B級、C級之公務機關及關鍵基礎設施提供者應導入「資通安全弱點通報機制」(VANS)；A級及B級之公務機關並應導入「端點偵測及應變機制」(EDR)。

     2.2.附表七：

因配合分級辦法第六條修正後將維運具帳號權限管理功能之資通系統之資通安全責任等級列為C級，故刪除本附表（資通安全責任等級D級之各機關應辦事項）所定技術面之資通安全防護中屬維運具帳號權限管理功能之資通系統「具有郵件伺服器者」。

     2.3.附表八：

刪除限制使用危害國家資通安全產品之辦理內容，後續將由主管機關透過跨部會協調平臺與各機關溝通推動危害國家資通安全產品之限制使用事宜。

     2.4.附表十：修正各項資通系統防護基準控制措施中關於「存取控制構面」、「稽核與可歸責性構面」、「營運持續計畫構面」、「識別與鑑別構面」、「系統與服務獲得構面」、「系統與通訊保護構面」之規定。

修法影響

本次修法對實務面影響最大的就是附表十之相關修正，以下就各個修正之構面說明如下：

存取控制構面：

本次修正課予機關針對帳號管理之高級控制措施應明確定義各系統之閒置時間或可使用期限與資通系統之使用情況及條件之責任。由於各機關針對不同公務類型處理所應採取之控制措施或有不同，故附表十雖課予機關前開明確定義之原則性責任，惟機關之定義、其控制措施分級是否妥適，在在考驗各公務機關之資通安全長、上級或監督機關、主管機關之稽核能力。另中級控制措施亦有所謂「逾期」、「閒置」等不確定法律概念，本次修正針對高級控制措施之明確定義責任似亦應適用於中級控制措施，始能收避免機關未明確定義致生適用上之疑義之效。

稽核與可歸責性構面（本次修正改為「事件日誌與可歸責性」）

本次修正將相關規定之「稽核」屬名詞者修正為「日誌」，屬動詞者修正為「記錄」，應係為與資通安全管理法中「稽核」之詞意義為區分，並更貼近附表十規範機關日常資通系統防護基準之目的。

營運持續計畫構面

本次修正針對系統備援之高級及中級措施規定，考量備援作法具多元性（不限於「備援設備」），故增訂「其他方式」之規定，以利執行彈性。

識別與鑑別構面

本次修正主要將身分驗證管理之普級控制措施，配合實務作業需求，將第三點驗證失敗次數由三次修改為五次。

系統與服務獲得構面

於系統發展生命週期需求階段，刪除原「以檢核表方式」進行系統安全需求（含機密性、可用性、完整性）確認之要求，保留實務上檢核呈現之彈性。於系統發展生命週期部署與維運階段，將原「應注意」版本控制與變更管理，修正為「應執行」版本控制與變更管理，凸顯版本控制與變更管理為法律上「義務」而非僅係單純之訓示規定。

系統與通訊保護構面

資料儲存之安全之高級控制措施，將原「靜置資訊」修改為「資通系統重要組態設定檔案」以明確應加密或以其他適當方式儲存之標的。

3.     資通安全事件通報及應變辦法：

本次修正將原公務機關之上級、監督機關或主管機關監督機制之對象僅限於「公務機關完成損害控制或復原作業後就資通安全事件之調查、處理及改善報告」，擴及至「特定公務機關知悉資通安全事件後之損害控制或復原作業辦理情形」。另將原特定非公務機關之中央目的事業主管機關監督機制之對象僅限於「特定非公務機關完成損害控制或復原作業後就資通安全事件之調查、處理及改善報告」，擴及至「特定非公務機關知悉資通安全事件後之損害控制或復原作業辦理情形」。亦即本次修正增強公務機關之上級、監督機關或主管機關及對特定非公務機關之中央目的事業主管機關公務機關及特定公務機關資通安全事件之監督機制，亦回應了ISO27001附錄A16關於資訊安全事故管理之要求。

4.     特定非公務機關資通安全維護計畫實施情形稽核辦法

本次修正賦予公務機關進行對特定非公務機關稽核之時程及稽核小組組成成員之彈性。時程上由原「每季」應擇定受稽核之特定非公務機關，修改為「每年」，除非有不可抗力原因外；稽核小組成員不再設定人員上限，只要求「三人以上」，而下修公務機關代表人員之比例（由不得少於三分之一下修到不得少於四分之一）。

5.     資通安全情資分享辦法

本次修正鼓勵特定非公務機關分享具效益之實質情資，提升資通安全聯防成效，增訂第三條第六項獎勵規定。惟獎勵之內容及程度為何，此辦法付之闕如，對於中央目的事業主管機關而言，如何在不被質疑圖利他人之法律界線下，達到獎勵特定非公務機關之目的，有待實務執行面之觀察。

6.     公務機關所屬人員資通安全事項獎懲辦法

本次修正將對業務督導不力之公務機關資通安全業務承辦業務人員之長官或督導業務之上級、監督機關人員亦列入懲處對象，期收落實遵循資通安全相關法規之效。

資安法及其相關子法將原僅為訓示、鼓勵機關落實資安保護之規範提升至法律層級，並明訂違反之法律效果，對提升公務機關及特定非公務機關之資安保護有一定效果，並對其他非適用之企業建置內部資安政策及資通系統防護基準控制措施亦有一定程度之影響。現行法雖僅適用於公務機關及特定非公務機關，然近年資安事件頻傳，一般非公務機關將來是否亦會被納入資安法之適用範圍，值得觀察。另制訂資安法及其相關子法之重要參考標準ISO27001即將於2022年初改版，資安法及其相關子法是否會對應修訂，亦值得關注。