{"error":false,"id":["202103221840000"],"data":{"屆":10,"議案編號":"202103221840000","會議代碼":"院會-10-8-3","會議代碼:str":"第10屆第8會期第3次會議","資料抓取時間":"2024-01-18T13:42:30+08:00","提案日期":"2023-10-13","最新進度日期":"2023-10-17","法律編號":["02823"],"法律編號:str":["資通安全管理法"],"相關附件":[{"網址":"https://ppg.ly.gov.tw/ppg/download/agenda1/02/pdf/10/08/03/LCEWA01_100803_00046.pdf","名稱":"關係文書PDF"},{"網址":"https://ppg.ly.gov.tw/ppg/download/agenda1/02/word/10/08/03/LCEWA01_100803_00046.doc","名稱":"關係文書DOC","HTML結果":"https://v2.ly.govapi.tw/bill_doc/LCEWA01_100803_00046/html"}],"議案流程":[{"會期":"10-08-03","院會/委員會":"院會","狀態":"排入院會 (交交通委員會)","日期":["2023-10-13","2023-10-17"],"會議代碼":"院會-10-8-3"},{"會期":"10-08-03","院會/委員會":"院會","狀態":"交付審查","日期":["2023-10-13","2023-10-17"],"會議代碼":"院會-10-8-3"}],"關連議案":[],"議案名稱":"「資通安全管理法部分條文修正草案」，請審議案。","提案單位/提案委員":"本院委員賴瑞隆等19人","議案狀態":"交付審查","議案類別":"法律案","提案來源":"委員提案","提案人":["賴瑞隆","邱志偉"],"連署人":["邱議瑩","蘇震清","王美惠","林宜瑾","鍾佳濱","羅美玲","伍麗華Saidhai‧Tahovecahe","蘇治芬","莊瑞雄","賴品妤","陳培瑜","張廖萬堅","洪申翰","陳靜敏","陳亭妃","蔡適應","蘇巧慧"],"會期":8,"字號":"院總第20號委員提案第10041703號","提案編號":"20委10041703","案由":"本院委員賴瑞隆、邱志偉等19人，有鑑於數位發展部自2022年8月27日成立後，原有之行政院資通安全會報機制應配合調整，應改由數位發展部主責推動國家資通安全事務之政策與執行，其所屬資通安全署則作為主辦機關，統籌辦理公務機關及特定非公務機關之資通安全稽核等相關業務，以落實強化整體國家資通安全管理及防護機制，爰擬具「資通安全管理法部分條文修正草案」。是否有當？敬請公決。","說明":"根據數位發展部發布《111年度國家資通安全情勢報告》顯示，2022年公務機關與特定非公務機關（公營事業、財團法人及關鍵基礎設施提供者）通報之資安事件共765件，其中1級事件占79.47%（608件），2級事件占15.69%（120件），3級事件占4.83%（37件），無4級事件，3級的嚴重事件以資料外洩事件居多，其中遭網路攻防演練成功攻擊「認證及驗證機制失效」、「注入攻擊」、「無效的存取控管」及「不安全的組態設定」等弱點，造成機密性衝擊為大宗；特定非公務機關所通報之3級資通安全事件肇因多為設備異常或故障影響涉及關鍵基礎設施維運之資通系統或業務，應強化管理層面。爰此，除應加強公務機關資通安全業務，明定主管機關為數位發展部，其所屬資通安全署（以下簡稱資安署）主辦整體公務機關資安管理之業務，其辦理資安業務之對象不限於行政院所屬機關，亦應包括其他公務機關及特定非公務機關，並強化特定非公務機關之相關管理規定。具體修正內容如下：\n一、配合中央政府組織改造，數位發展部成立，明定本法主管機關為數位發展部，其有關公務機關及特定非公務機關之資通安全管理，由資安署執行之。（修正草案第一條、第六條、第七條、第八條、第十二條、第十三條、第十四條、第十六條、第十七條、第十八條）\n二、刪除公法人之適用，並將行政法人納入公務機關範疇，並配合財團法人法頒布施行修正政府捐助之財團法人為特定財團法人。（修正條文第三條）\n三、增訂資安署得委託其他公務機關、法人或團體辦理業務之規定。（修正條文第六條）\n四、增強地區聯防機制，明定公務機關應稽核其所屬或所監督機關、所轄地方自治團體之資通安全維護計畫實施情形等相關規定。（修正條文第十三條）\n五、為明確負責人以加強資安防護，增訂特定非公務機關應設置資安長之規定。（修正條文第十八條之一）\n六、本法修正後之施行日期，授權行政院定之。（修正條文第二十三條）","對照表":[{"law_id":null,"law_name":null,"立法種類":"修正條文","title":"","rows":[{"現行":"第二條　本法之主管機關為行政院。","說明":"配合中央政府組織改造，2022年8月27日數位發展部成立，修正本法主管機關。","修正":"第二條　本法之主管機關為數位發展部。\n\n國家資通安全之規劃與執行由數位發展部資通安全署（以下簡稱資安署）辦理。"},{"現行":"第三條　本法用詞，定義如下：\n\n一、資通系統：指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。\n\n二、資通服務：指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。\n\n三、資通安全：指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，以確保其機密性、完整性及可用性。\n\n四、資通安全事件：指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生，影響資通系統機能運作，構成資通安全政策之威脅。\n\n五、公務機關：指依法行使公權力之中央、地方機關（構）或公法人。但不包括軍事機關及情報機關。\n\n六、特定非公務機關：指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。\n\n七、關鍵基礎設施：指實體或虛擬資產、系統或網路，其功能一旦停止運作或效能降低，對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞，經主管機關定期檢視並公告之領域。\n\n八、關鍵基礎設施提供者：指維運或提供關鍵基礎設施之全部或一部，經中央目的事業主管機關指定，並報主管機關核定者。\n\n九、政府捐助之財團法人：指其營運及資金運用計畫應依預算法第四十一條第三項規定送立法院，及其年度預算書應依同條第四項規定送立法院審議之財團法人。","說明":"一、我國法制中，公法人指涉國家、地方自治團體、行政法人與改制為行政機關前之農田水利會，已無單獨規範公法人之必要。此外，自2011年行政法人法施行後，陸續已有國家表演藝術中心、國家中山科學研究院、國家災害防救科技中心、國家運動訓練中心、國家住宅及都市更新中心、文化內容策進院、國家電影及視聽文化中心、國家資通安全研究院、國家太空中心等行政法人成立，皆有其定位及政策任務，其業務亦具機敏性，應納入本法規範加強資安管理，爰修正第五款規定。\n\n二、自2018年財團法人法公布施行後，該法第二條第二項政府捐助成立之財團法人、第三項政府接收台灣在日本統治時期遺留資產捐助成立之財團法人，以及第六十三條第一項接受政府捐助達一定金額或政府直接間接控制之民間捐助財團法人，皆屬應負特別義務之「特定財團法人」，本次修正併納入本法規範。","修正":"第三條　本法用詞，定義如下：\n\n一、資通系統：指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。\n\n二、資通服務：指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。\n\n三、資通安全：指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，以確保其機密性、完整性及可用性。\n\n四、資通安全事件：指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生，影響資通系統機能運作，構成資通安全政策之威脅。\n\n五、公務機關：指依法行使公權力之中央、地方機關（構）或行政法人。但不包括軍事機關及情報機關。\n\n六、特定非公務機關：指關鍵基礎設施提供者、公營事業及特定財團法人。\n\n七、關鍵基礎設施：指行政院公告之領域中，實體或虛擬資產、系統或網路，其功能一旦停止運作或效能降低，對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞，經主管機關定期檢視並公告之領域。\n\n八、關鍵基礎設施提供者：指維運或提供關鍵基礎設施之全部或一部，經中央目的事業主管機關指定，並報行政院核定者。\n\n九、特定財團法人：符合財團法人法第二條第二項、第三項或第六十三條第一項規定之財團法人，並屬該法第二條第八項所稱全國性財團法人。"},{"現行":"第四條　為提升資通安全，政府應提供資源，整合民間及產業力量，提升全民資通安全意識，並推動下列事項：\n\n一、資通安全專業人才之培育。\n\n二、資通安全科技之研發、整合、應用、產學合作及國際交流合作。\n\n三、資通安全產業之發展。\n\n四、資通安全軟硬體技術規範、相關服務與審驗機制之發展。\n\n前項相關事項之推動，由主管機關以國家資通安全發展方案定之。","說明":"本次修正草案因應數位發展部成立，本法主管機關修正惟數位發展部，然而依現行國家資通安全會報之運作，係以數位發展部為幕僚單位，結合內政部、法務部、教育部、國科會、交通部、經濟部、金管會、衛福部等單位，國家資通安全發展方案仍由行政院核定，爰配合修正。","修正":"第四條　為提升資通安全，政府應提供資源，整合民間及產業力量，提升全民資通安全意識，並推動下列事項：\n\n一、資通安全專業人才之培育。\n\n二、資通安全科技之研發、整合、應用、產學合作及國際交流合作。\n\n三、資通安全產業之發展。\n\n四、資通安全軟硬體技術規範、相關服務與審驗機制之發展。\n\n前項相關事項之推動，由行政院以國家資通安全發展方案定之。"},{"現行":"第六條　主管機關得委任或委託其他公務機關、法人或團體，辦理資通安全整體防護、國際交流合作及其他資通安全相關事務。\n\n前項被委託之公務機關、法人或團體或被複委託者，不得洩露在執行或辦理相關事務過程中所獲悉關鍵基礎設施提供者之秘密。","說明":"一、數位發展部成立時，亦一併成立其所屬機關資通安全署及數位產業署，政府機關資通安全業務多移交資通安全署負責，爰此，增訂主管機關之所屬機關亦得委任或委託資通安全相關事務之規定。\n\n二、無論是否為關鍵基礎設施提供者之秘密，受委任或委託執行或辦理資通安全事務之單位皆不應洩漏，爰修正之。","修正":"第六條　主管機關及其所屬機關得委任或委託其他公務機關、法人或團體，辦理資通安全整體防護、國際交流合作及其他資通安全相關事務。\n\n前二項受委任或委託之公務機關、法人或團體或受複委託者，不得洩露在執行或辦理相關事務過程中所獲悉之秘密。"},{"現行":"第七條　主管機關應衡酌公務機關及特定非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件，訂定資通安全責任等級之分級；其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法，由主管機關定之。\n\n主管機關得稽核特定非公務機關之資通安全維護計畫實施情形；其稽核之頻率、內容與方法及其他相關事項之辦法，由主管機關定之。\n\n特定非公務機關受前項之稽核，經發現其資通安全維護計畫實施有缺失或待改善者，應向主管機關提出改善報告，並送中央目的事業主管機關。","說明":"一、因應政府組織改造，數位發展部暨所屬機關成立，調整資安稽核執行機關，並將所有公務機關納入資安署得稽核對象，不限於特定非公務機關。\n\n二、資安署負責執行資通安全稽核工作，如發現被稽核單位有缺失或待改善者，該單位亦應將改善報告提交資安署。\n\n三、增訂第四項，資安署、上級機關級、監督機關應有權就改善報告之內容，要求被稽核單位說明或調整。","修正":"第七條　主管機關應衡酌公務機關及特定非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件，訂定資通安全責任等級之分級；其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法，由主管機關定之。\n\n資安署得稽核公務機關及特定非公務機關之資通安全維護計畫實施情形；其稽核之頻率、內容與方法及其他相關事項之辦法，由主管機關定之。\n\n公務機關及特定非公務機關受前項之稽核，經發現其資通安全維護計畫實施有缺失或待改善者，應向資安署、上級機關或監督機關提出改善報告，並送中央目的事業主管機關。\n\n前項報告資安署、上級機關、監督機關或中央目的事業主管機關認有必要時，得要求受稽核機關進行說明或調整。"},{"現行":"第八條　主管機關應建立資通安全情資分享機制。\n\n前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法，由主管機關定之。","說明":"因應政府組織改造，數位發展部暨所屬機關成立，修正為執行機關資安署。","修正":"第八條　資安署應建立資通安全情資分享機制。\n\n前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法，由主管機關定之。"},{"現行":"第十二條　公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形；無上級機關者，其資通安全維護計畫實施情形應送交主管機關。","說明":"一、增加上級政府為資通安全維護計畫實施情形之陳報對象。\n\n二、因應政府組織改造，修正應以資安署指定方式陳報或送交資通安全維護計畫實施情形。\n\n三、增加無上級機關、上級政府或監督機關者應送交資安署規定。","修正":"第十二條　公務機關每年度資通安全維護計畫實施情形，應依資安署指定之方式陳報上級機關、上級政府或監督機關備查；無上級機關、上級政府或監督機關者，應送交資安署。"},{"現行":"第十三條　公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。\n\n受稽核機關之資通安全維護計畫實施有缺失或待改善者，應提出改善報告，送交稽核機關及上級或監督機關。","說明":"一、為強化資安地區聯防，新增公務機關應稽核所轄地方自治團體之規定，例如縣市政府稽核所轄鄉（鎮、市）公所及代表會，直轄市政府稽核山地原住民區公所及區民代表會等。\n\n二、新增第二項，公務機關辦理資通安全計畫稽核，得委任之規定。\n\n三、新增被稽核機關如有缺失或待改善者，應將改善報告提交稽核機關，如另有上級機關或上級政府者，應另提交之。\n\n四、新增第四項，為統合事權，稽核機關應將稽核結果及改善報告送交資安署。","修正":"第十三條　公務機關應稽核其所屬或所監督機關、所轄地方自治團體之資通安全維護計畫實施情形。\n\n公務機關辦理前項稽核，得委任其所屬或其所監督之公務機關執行之。\n\n受稽核機關之資通安全維護計畫實施有缺失或待改善者，應向稽核機關及上級機關或上級政府提出改善報告。\n\n稽核機關應依資安署指定方式將稽核結果及改善報告送交資安署。"},{"現行":"第十四條　公務機關為因應資通安全事件，應訂定通報及應變機制。\n\n公務機關知悉資通安全事件時，除應通報上級或監督機關外，並應通報主管機關；無上級機關者，應通報主管機關。\n\n公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告，並送交主管機關；無上級機關者，應送交主管機關。\n\n前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法，由主管機關定之。","說明":"因應政府組織改造，修正資安事件應通報資安署，並比照第十二條規定增訂上級政府。","修正":"第十四條　公務機關為因應資通安全事件，應訂定通報及應變機制。\n\n公務機關知悉資通安全事件時，除應通報上級機關、上級政府或監督機關外，並應通報資安署；無上級機關、上級政府或監督機關者，應通報主管機關。\n\n公務機關應向上級機關、上級政府或監督機關提出資通安全事件調查、處理及改善報告，並送交主管機關；無上級機關者，應送交主管機關。\n\n前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法，由主管機關定之。"},{"現行":"第十六條　中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後，指定關鍵基礎設施提供者，報請主管機關核定，並以書面通知受核定者。\n\n關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求，並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件，訂定、修正及實施資通安全維護計畫。\n\n關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。\n\n中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。\n\n關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者，應提出改善報告，送交中央目的事業主管機關。\n\n第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法，由中央目的事業主管機關擬訂，報請主管機關核定之。","說明":"一、配合數位發展部成立並修正為本法主管機關，原有關關鍵設施提供者之核定機關仍為行政院，爰修正第一項文字。\n\n二、為集中權責，關鍵基礎設施提供者之資安稽核結果及改善報告，除應送中央目的事業主管機關外，中央目的事業主管機關也應提交資安署。\n\n三、有關關鍵基礎設施之資通安全維護計畫之相關事項，雖仍應由行政院核定，惟行政院資通安全會報之主要幕僚機關為本法主管機關，增訂由主管機關核轉行政院核定之規定。","修正":"第十六條　中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後，指定關鍵基礎設施提供者，報請行政院核定，並以書面通知受核定者。\n\n關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求，並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件，訂定、修正及實施資通安全維護計畫。\n\n關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。\n\n中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。\n\n關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者，應提出改善報告，送交中央目的事業主管機關。\n\n中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。\n\n第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法，由中央目的事業主管機關擬訂，報由主管機關核轉行政院核定。"},{"現行":"第十七條　關鍵基礎設施提供者以外之特定非公務機關，應符合其所屬資通安全責任等級之要求，並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件，訂定、修正及實施資通安全維護計畫。\n\n中央目的事業主管機關得要求所管前項特定非公務機關，提出資通安全維護計畫實施情形。\n\n中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形，發現有缺失或待改善者，應限期要求受稽核之特定非公務機關提出改善報告。\n\n前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法，由中央目的事業主管機關擬訂，報請主管機關核定之。","說明":"針對關鍵基礎設施提供者以外之特定非公務機關，比照第十六條修正內容，增訂中央目的事業主管機關提交稽核結果及改善報告之相關程序。","修正":"第十七條　關鍵基礎設施提供者以外之特定非公務機關，應符合其所屬資通安全責任等級之要求，並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件，訂定、修正及實施資通安全維護計畫。\n\n中央目的事業主管機關得要求所管前項特定非公務機關，提出資通安全維護計畫實施情形。\n\n中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形，發現有缺失或待改善者，應限期要求受稽核之特定非公務機關提出改善報告。\n\n中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。\n\n第一項至第三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法，由中央目的事業主管機關擬訂，報由主管機關核轉行政院核定之。"},{"現行":"第十八條　特定非公務機關為因應資通安全事件，應訂定通報及應變機制。\n\n特定非公務機關於知悉資通安全事件時，應向中央目的事業主管機關通報。\n\n特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告；如為重大資通安全事件者，並應送交主管機關。\n\n前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法，由主管機關定之。\n\n知悉重大資通安全事件時，主管機關或中央目的事業主管機關於適當時機得公告與事件相關之必要內容及因應措施，並得提供相關協助。","說明":"重大資通安全事件之調查報告送交對象，配合數位發展部成立修正並應送交資安署。","修正":"第十八條　特定非公務機關為因應資通安全事件，應訂定通報及應變機制。\n\n特定非公務機關於知悉資通安全事件時，應向中央目的事業主管機關通報。\n\n特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告；如為重大資通安全事件者，並應送交主管機關。\n\n前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法，由主管機關定之。\n\n知悉重大資通安全事件時，主管機關或中央目的事業主管機關於適當時機得公告與事件相關之必要內容及因應措施，並得提供相關協助。"},{"現行":"","說明":"一、本條新增。\n\n二、有鑑於關鍵基礎設施提供者等特定非公務機關遭受資通安全事件事件，其可能導致之危害恐不亞於公務機關，爰參照第一條規定，增訂特定非公務機關應置資通安全長之規定。","修正":"第十八條之一　特定非公務機關應置資通安全長，由特定非公務機關之代表人、管理人、其他有代表權人或其指派之適當人員兼任，負責推動及監督機關內資通安全相關事務。"},{"現行":"第二十三條　本法施行日期，由主管機關定之。","說明":"授權行政院頒定施行日期，修正條文亦同。","修正":"第二十三條　本法施行日期，由行政院定之。"}]}],"url":"https://ppg.ly.gov.tw/ppg/bills/202103221840000/details"},"supported_relations":{"related_bills":{"type":"_function","function":"getRelatedBills","subject":"相關議案"},"doc_html":{"type":"_function","function":"getDocHTML","subject":"議案文件 HTML 內容"},"meets":{"type":"meet","map":{"議案編號":"議事網資料.關係文書.議案.議案編號"},"subject":"議案相關會議"}},"relations":[{"url":"https://v2.ly.govapi.tw/bill/202103221840000/related_bills","name":"related_bills"},{"url":"https://v2.ly.govapi.tw/bill/202103221840000/doc_html","name":"doc_html"},{"url":"https://v2.ly.govapi.tw/bill/202103221840000/meets","name":"meets"}]}