行政院資通安全處今(5)日表示,針對11月30日媒體刊載有關「資通安全管理法草案」之行政檢查啟動要件簡略一事說明如下:
「資通安全管理法草案」第18條所訂行政檢查的啟動要件有二,包括稽核發現重大缺失或遇重大資通安全事件者,前者所謂重大缺失,是指特定非公務機關未能落實其自訂的資通安全維護計畫,讓組織特定的資安維護機制失效,致生損害不可回復的風險者,實務上如未對重要核心資通系統進行人員權限管制或權限控管不實等;至於後者的重大資通安全事件,是指現行國家資通安全通報應變作業綱要所定義的第3、4級資安事件,如關鍵或核心資訊基礎設施的系統或資料,遭竄改或運作遭影響或系統停頓,無法於可容忍中斷時間內回復正常運作者等。此皆基於擔憂重大資安事件擴大或避免特定非公務機關未落實自身所訂資通安全防護計畫,致生重大資安風險所作的考量。
行政院資通安全處表示,執行本草案第18條除必須符合前述二項要件之一,方可進入特定非公務機關執行檢查外,參與檢查人員應負有保密義務,此外,含公務員在內的檢查人員,如接觸營業秘密或民眾個人資料,仍當受現行個人資料保護法、營業秘密法及刑法等相關法律規範及箝制。
行政院資通安全處重申「資通安全管理法」立法主要目的,是為建構安全的資通環境,進而保障國家安全,維護社會公共利益。感謝各界的指教及建議,後續將參考各界建言,通盤考量後提出研析意見予立法院法案審議參考,以加速建構完善國家資通安全環境。