在這裡先聲明的是,我是法律的小白,寫程式已經不僅止於了解技術面上的累積,同時資安也是世界所關注的重要議題。了解資訊科技產品與法規的連結也是資訊從業人員必要了解的課題。 數年前已有個人資料保護法法規施行,相信已不少人非常的熟悉,近期注意到有關於資通安全管理法的相關資訊,同時也關係到 ISO相關認證的資料,這裡僅做於資料收集的參考及個人部分的小小心得。
以下是整理 有關於自資通安全管理法的相關資料會隨時間繼續更新
法規
草案
- 草案113年7月4日行政院會通過版(數發部資安署)
主要的更動包含, 主管機關改為數發部。強制納入特定非公務機關及關鍵基礎設施民間機構。危害直通安全設備或軟體的使用或下載禁止項目。公務機關應設立資安主管及資安專責人員及相關的處分規定。 資安會報,資安事件通報架構,加入實施演練及資安專職人員資格及訓練規定。
現行法規
資通安全管理法及子法 (數發部)
- 資通安全管理法之施行細則
- 資通安全責任等級分級辦法
- 資通安全事件通報及應變辦法
- 資通安全情資分享辦法
- 公務機關資通安全人員獎懲辦法
- 特定非公務機關資通安全維護計畫實施情形稽核規定
最新的ISO 27001:2022發佈時間晚於資通安全管理法其他相關辦法的發佈時間。我們也有自己的CNS27001, 初步看來其控制項較接近於2013年版,這部分需要再對照研究
- 資通安全管理法 (民國 107 年 06 月 06 日 公布 108年01月01日施行)
- 資通安全管理法施行細則 (108年01月01日施行。民國 110 年 08 月 23 日 修正公布施行)
- 資通安全責任等級分級辦法 (108年01月01日施行。民國 110 年 08 月 23 日 修正公布施行)
- 資通安全事件通報及應變辦法 (108年01月01日施行。民國 110 年 08 月 23 日 修正公布施行)
- 資通安全情資分享辦法 (108年01月01日施行。民國 110 年 08 月 23 日 修正公布施行)
- 資安署-資通安全管理法FAQ(民國 110 年 9 月 30 日)
相關法規
- 個人資料保護法 (民國1050315施行。民國 112 年 05 月 31 日 修正公布。民國1130101起改由「個人資料保護委員會籌備處」管轄)
- 電子簽章法 (民國 113 年 05 月 15 日 )
- 電子簽章法施行細則 (民國 113 年 11 月 14 日 )
- 財團法人法 (民國 107 年 08 月 01 日)
其它相關
- https://www.iso.org/standard/27001 (目前最新是用2022年版,這裡下載是要收費的,當然Google也查得到其他的來源)
- CNS 27001 (這裡也是要收費的)
條文修正心得
第二條
- 本法之主管機關 為數位發展部。
- 國家資通安全業 務,由數位發展部資通安全署(以下簡稱資安署)辦理。
主管機關由行政院為改發展部資安署
第三條
第一項第三款 資通安全定義加上「或其他情形影響」, 除了直通安全受到明確的實質影響 「其他」 未被歸類於前述的行為中也被概括之中。 第六款、第七款,允許公權,力依法對「特定關鍵設施」之民間機構納入監督管理。 「捐助之財團法人」擴及行政院所公告其實體設施或服務對國家安全及國民生活有重大影響者,由公務機關或公務機關所控 制機構擴增範圍至其它特定民間機構。 如果參考「政府機關(構)資通安全責任等級分級作業規定」(已停止適用),納管範圍包含:
負責能源、水資源、通訊傳播、交通、金融、緊急救援、高科技 園區等關鍵資訊基礎設施之營運機關
國(公)營事業、醫療機構及其他
