針對日前「台灣網路治理論壇(Taiwan IGF)」對於「資通安全管理法草案」的相關討論,行政院資通安全處今(10)日澄清說明如下:
目前所規劃的資通安全責任等級分級方式,高中以下各級公立學校如未自行或委外開發資通系統,或未設置該資通系統主機或伺服器者,資通安全責任等級列為D級;如有自行或委外開發資通系統,並設置該資通系統主機或伺服器情形者,且經由主管機關(即教育部)評估後,則列為C級。而私立學校因非公務機關,且非屬本草案所指特定非公務機關(即關鍵基礎設施提供者、公營事業及政府捐助的財團法人),原則不在規範內。
在應辦事項方面,資通安全責任等級列為C級者,應每兩年辦理一次內部資通安全稽核;資通安全責任等級列為D級者則無此規定。但不論C級或D級,均不須辦理第三方外部稽核。
此外,有關資通安全責任等級認定,因考量受規範對象的業務機敏性、是否涉及關鍵基礎設施的維運或提供、個人資料檔案數量等不同因素,仍訂有彈性規定,行政院等機關於核定或提交資通安全責任等級時,得視實務狀況予以適當調整(即調升或調降等級)。
目前行政院資安處所研擬的相關子法條文內容,均屬草案階段且未定稿,條文內容如有易讓外界誤解之處也將配合修正,亦持續徵詢及蒐集各界意見,以加速建構完善國家資通安全環境。