iT邦幫忙

2022 iThome 鐵人賽

DAY 4
0

昨天介紹了全體適用的主管機關,以及非強制性的國際組織,今天則是大略介紹一下如何知道自己要符合哪個主管機關的規範,主要以資通安全管理法為中心,並且包含了以下子法:

  • 資通安全管理法施行細則
  • 資通安全事件通報及應變辦法
  • 資通安全情資分享辦法
  • 資通安全責任等級分級辦法(含十個附件)
  • 公務機關所屬人員資通安全事項獎懲辦法
  • 特定非公務機關資通安全維護計畫實施情形稽核辦法

由於《公務機關所屬人員資通安全事項獎懲辦法》、《特定非公務機關資通安全維護計畫實施情形稽核辦法》著重在事後的稽核與獎懲,與機關單位合規關係較小,因此本系列文章將不會進行介紹。

公務機關

《資通安全管理法》第三條第一項第五款:
公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。

此條即明訂出受資通安全管理管轄的公務機關為中央政府、地方政府、公法人(行政法人,例如中科院、太空中心),只要屬於這些種類的機構,都要受到資通安全管理法及其子法的管轄;其中例外的是,軍事機關、情報機關則不受資安法管轄。

軍事機關與情報機關

《資通安全管理法施行細則》第二條:
本法第三條第五款所稱軍事機關,指國防部及其所屬機關(構)、部隊、學校;所稱情報機關,指國家情報工作法第三條第一項第一款及第二項規定之機關。

《國家情報工作法》第三條:
本法用詞定義如下:
一、情報機關:指國家安全局、國防部軍事情報局、國防部電訊發展室、國防部軍事安全總隊
二、情報工作:指情報機關基於職權,對足以影響國家安全或利益之資訊,所進行之蒐集、研析、處理及運用。應用保防、偵防、安全管制等措施,反制外國或敵對勢力對我國進行情報工作之行為,亦同。
三、情報人員:指情報機關所屬從事相關情報工作之人員。
四、情報協助人員:指具情報工作條件,知悉工作特性,由情報機關遴選並接受指導、運用協助從事情報工作,經核准有案之人員。
五、資訊:指以文書、圖畫、照片、磁碟、磁帶、光碟、微縮片、積體電路晶片等媒介物及其他得以讀、看、聽或以技術、輔助方法理解之任何紀錄內訊息。
六、間諜行為:指為外國勢力、境外敵對勢力或其工作人員對本國從事情報工作而刺探、收集、洩漏或交付資訊者。
海洋委員會海巡署、國防部政治作戰局、國防部憲兵指揮部、國防部參謀本部資通電軍指揮部、內政部警政署、內政部移民署及法務部調查局等機關(構),於其主管之有關國家情報事項範圍內,視同情報機關

由此可以看出,軍事機關定義為所有受國防部管轄的單位(包含軍校),而情報機關除了特定單位外,只要業務有涵蓋到國家情報的範圍,該範圍內就視同情報機關,等於該範圍不會受到資安法的管轄。

https://www.mnd.gov.tw/NewUpload/202206/111-%E4%B8%AD%E6%96%87%E7%89%88new_025122.png
國防部組織圖,只要在此組織圖內就認定為軍事機關)

特定非公務機關

《資通安全管理法》第三條第一項
第六款:特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
第七款:關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域。
第八款:關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者。
第九款:政府捐助之財團法人:指其營運及資金運用計畫應依預算法第四十一條第三項規定送立法院,及其年度預算書應依同條第四項規定送立法院審議之財團法人。

此處明訂出同樣需要受到資通安全管理法及其子法管轄的機構,稱為特定非公務機關,其中包含了:

  • 關鍵基礎設施:對國家安全有重大影響的設施與事業,例如水、電、能源、交通、金融等服務提供者。
  • 公營事業:例如台糖、台電、台水、中油、台鐵、中央印製廠、桃園機場公司、土地銀行等。
  • 政府捐助之財團法人:指需要將預算送立法院審議的財團法人,例如工研院、資策會、外貿協會等等。

特定非公務機關還需要遵守中央目的事業主管機關所定的作業辦法,法規名稱依照主管機關的不同,為「(部會)所管特定非公務機關資通安全管理作業辦法」,目前共有 23 個部會訂出此資安管理作業辦法。
https://ithelp.ithome.com.tw/upload/images/20220920/20130512r6bQAhDUbL.png

關鍵基礎設施與其他特定非公務機關之認定

《資通安全管理法》第十六條第一項:
中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後,指定關鍵基礎設施提供者,報請主管機關核定,並以書面通知受核定者。

各產業的主管機關將會與公務機關、民間團體、專家學者共同開會,擬定出關鍵基礎設施提供者,並報主管機關(依資安法第二條,資安法主管機關為行政院)核定後,通知該關鍵基礎設施提供者;
目前指定的領域包含能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區,會分別由經濟部、NCC、交通部、金管會、內政部、衛福部、國科會等負責指定,但為了避免遭到攻擊,被指定的關鍵基礎設施提供者名單不會進行公告。

其他特定非公務機關則直接以資安法第三條所訂的公營事業、政府捐助財團法人來進行認定,不會再由中央目的事業主管機關額外指定。

參考資料


上一篇
[Day 3] 要合誰的規?(上)
下一篇
[Day 5] 被資安法管轄後,會發生什麼事?(之 1 - 資安法介紹)
系列文
合規合規,合什麼規?30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言