納管對象及範圍
資安法納管對象包含公務機關及特定非公務機關。
一、公務機關:指依法行使公權力之中央、地方機關(構)或公法人,但不含軍事及情報機關。
二、特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
相關定義可參考資安法第3條第5至9款條文。其中公營事業係依「公營事業移轉民營條例」第3條規定,包含中央及地方政府投資經營之公營事業:
(一)各級政府獨資或合營者。
(二)政府與人民合資經營,且政府資本超過百分之五十者。
(三)政府與前二款公營事業或前二款公營事業投資於其他事業,其投資之資本合計超過該投資事業資本百分之五十者。
依行政院衛生署95年8月24日衛署醫字第0950036702號函示,公立醫療機構委託民間辦理或公設民營機關(構),既係委由民間辦理,其屬性不適合予以定位為公立醫療機構。
因此爰引上述函釋,公立醫療機構如委託民間辦理,可視為非屬本法所稱公務機關之範疇,惟其後續如經衛福部指定為「緊急救援與醫院類」之關鍵基礎設施提供者,則仍屬資安法納管對象。
地方政府捐助之財團法人非屬資安法第3條第9款所稱「營運及資金運用計畫應依預算法第41條第3項規定送立法院」、「年度預算書應依同條第4項規定送立法院審議之財團法人」,故非屬資安法納管對象。
資安法針對不同納管對象訂有不同程度之規範強度(公務機關>關鍵基礎設施提供者>公營事業或政府捐助之財團法人),如單一機關兼具二種身分時,依規範強度較高者納管之。
例如:以臺北自來水事業處為例,其兼具公務機關與公營事業性質,則以公務機關之身分納管之。
地方政府之公營事業屬資安法之特定非公務機關,依資安法第17及18條及相關子法之規定,該公營事業應受中央目的事業主管機關(各部會)之監督與管理。而地方政府則應督促所屬公營事業,依中央目的事業主管機關所定規定,辦理各項法遵業務。
資安法第16條第6項、第17條第4項中規定,「…資通安全維護必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬定,請主管機關核定」,故各中央目的事業主管機關基於資安防護整體考量,得要求其所管特定非公務機關指定適當層級之人員擔任資通安全長/資通安全管理代表,相關規定並得訂定於相關管理辦法中。
里辦公處為里長與里幹事辦公之處所,隸屬於所在區公所並為其之派出單位,應適用本法,並配合所在鄉(鎮、市、區)公所辦理資通安全相關作業(行政院資通安全處109年3月30日院臺護字第1090169297號函)。
- 一、 任務編組之業務屬於其設立機關或管理機關之一部分,爰應受資安法納管,配合設立機關或管理機關,執行資通安全業務。
- 二、 設立機關或管理機關之資通安全維護計畫,應將該任務編組之核心業務、資通系統納入。
共11筆資料