歲月的容顏 YingChu Chen

2018年時曾經吵吵鬧鬧的《 資通安全管理法 》(資安法)，現在要修法了。5 年過後再回頭看這部法，覺得它和民間私部門沒有太大的關係，在草擬這部法時沒有數位發展部(數位部)，所以預設的主管機關是行政院，在當時的情況下，有些權責劃分很模糊，或是管理的層級也不清楚，有些單位無法明正言順的做事。現在有數位部了，藉這次修法把當時定義、層級弄清楚，也能那些原本負責的單位有依據做事，也加強所有政府各層級部門資通安全聯防、管理的機制。 預設讀這篇的都已讀過 修正草案的內容 ，所以就把自己看過後的重點整理以下，只有第11條是我覺得需要寫清楚或規範清楚的，其他就只是資料整理： 資安法的對象其實是 公務機關 和 特定非公務機關 ，所以有些企業會很擔心資安法會管到他們，除非他們是特定非公務機關，但修法後的對象非常清楚，建議可以再向請教自己公司的法遵部門。現行資安法裡的的公務機關定義擴及到公法人(國家、地方自治團體、行政法人)，修正後只有到 行政法人 。修正後草案將特定非公務機關則依據《 財團法人法 》修正(現行僅政府補捐助的財團法人)。 修正法草案明確寫出這部法的層級及管轄的範圍與層級、資通安全事件的通報層級、稽核的管理，不會像以前一樣都模糊的寫主管機關。修正後就會明確的寫出主管機關的哪個單位。修法後也明確是由行政院公告關鍵基礎設施清單，而不是由主管機關(數位部)來決定哪些是關鍵基礎設施。 修正後新增：第5、8、11、23、25、29、31條 現行第6條移到第30條，讓所監督的行政法人名正言順的做事，例如(資通安全)國際交流合作，台灣政府部門間的資通安全分享與分析中心(ISAC)都有在進行國際交流，另外如2023年終於成立的國家資通安全研究院(資安院)，就是行政法人。 修正後第9條：資通安全情資分享機制由主管機關變成資安署。原本政府的部門間、關鍵基礎設施之間都有資通安全分享與分析中心(ISAC)，這次修法可能是讓資安署可以名正言順的全權管理ISACs之間的情資分享與管理機制。 修正後第23條：規範特定非公務機關應設資通安全長，人選由代表人、管理人優先於其他代表權人，或再指派適當人員擔任。 修正後第29條：特定非公務機關規避、防礙、拒絕接受調查者，處罰10萬元以上，100萬元以下罰鍰。 修正草案通過後可能會出現的問題： 修正後第10條：移除「委外應考量受託者之專業能力與經驗」，直接選任適當