針對13日風傳媒有關「資通安全管理法」恐引發政府侵權疑慮,以及圖利廠商之嫌等報導,行政院資通安全處特澄清說明如下:
目前行政院資通安全處辦理年度資安稽核,是以抽查方式進行,以選定特定領域、中央部會機關、年度曾發生資安事件及重大系統改版的機關為主,每年約篩選20個機關(單位)進行稽核作業。
依行政院資通安全處研擬中的「資通安全管理法」草案,規範對象除公務機關外,非公務機關則以關鍵基礎設施提供者及適用資安責任等級分級之政府捐補助法人為主要對象,其中關鍵基礎設施包含能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院等實體或虛擬資產、系統或網路。為明確賦予政府機關善盡資安管理與防護責任,展現政府防護國家資通安全的決心,期透過本法之要求,使各機關均能獲得所需資安防護資源。
政府目前資安人才不足之問題,期望透過「資通安全管理法」建構完整之防護體系,協助各級政府機關據以強化人才培育,提升資安人才質量,以逐步落實資安管理。至於現階段承接政府資安委外廠商則透過評鑑機制,要求廠商必須達到一定之水準,以保障政府機關資安防護之成效。
此外,「資通安全管理法」的立法宗旨,除加速建構完善的國家資安環境,另一目的即盼能帶動我國資安產業發展,包括資安科技研發、資安服務、資安教育等產業因而受惠,並非圖利特定廠商。
有關行政檢查部分,政府機關進入非公務機關執行檢查,必須具備二項要件其中之一,包括因查核資通安全維護情形發現重大缺失,或發生重大資通安全事件時,在此前提下,非公務機關才不得規避、妨礙或拒絕檢查,並無存有政府侵權的疑慮。
為求法律的周延性,並徵詢各界意見,行政院資通安全處於105年8月1日成立迄今,已針對公務機關、業界及學者專家召開6場座談會,後續亦將視需要增開。此外,另藉由國發會公共政策網路參與平臺,目前亦持續徵集各界建議中,期所定條文符合國際趨勢及業務實需,以完備資安法制基礎。