◎ 李峙錡(台灣大學法律學研究所碩士生)

一、由行政院會報進行整體政策規劃
我國行政院目前對於關鍵基礎設施的保護及管理,主要由行政院國土安全政策會報1及行政院資通安全會報2負責推動,前者負責關鍵基礎設施之風險管理暨盤點作業,發展防護計畫,同時結合公、私部門建立防護機制,統整國家有限防護資源3;後者則負責規劃推動關鍵資訊基礎設施安全管理機制,並督導各領域落實安全防護及辦理稽核、演練等作業4。
國土安全政策會報及資通安全會報之組織架構圖,可參考國土安全政策會報簡介5,資通安全會報架構圖6。
二、關鍵基礎設施保護之法源
目前我國對於關鍵基礎設施的法律定義係依照資通安全管理法第3條第7款,係指「實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域 」;關鍵基礎設施提供者7則是指「維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者 」。
依照資通安全管理法第16條第1項規定:「中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後,指定關鍵基礎設施提供者,報請主管機關核定,並以書面通知受核定者。」,亦即由中央目的事業主管機關負責關鍵基礎設施提供者之指定,並應報請行政院核定之,其作業流程係依〈關鍵基礎設施盤點作業須知〉辦理。具體關鍵基礎設施之篩選準則8為:「基礎設施遭攻擊或災損時,有造成如下影響者,應列為關鍵基礎設施:
- 足以直接或間接造成大規模人口傷亡或避難遷徙者。
- 足以直接或間接造成重大經濟損失者。
- 足以直接或間接影響其他關鍵基礎設施營運之能力者。
- 足以影響政府功能持續運作、民心士氣、社會安定者。」
關鍵基礎設施分級作業程序:依照個別設施維管者盤點資產、填寫調查表後,提交次領域主管機關初評,再經行政院邀集審查標的領域相關之外部專家學者及機關代表辦理複評及核定。9
確定關鍵基礎設施的名單後,其資通安全保護之法源則依據〈資通安全管理法〉及其子法之規定,可參照資安法架構10。
資通安全管理法之子法將關鍵基礎設施的資安責任及資安事件通報進行分級,〈資通安全責任等級分級辦法〉將公務機關及特定非公務機關之資通安全責任,由高至低,分為A-E級。屬公務機關,且業務涉及全國性之關鍵基礎設施事項者負擔A級責任,若業務僅涉及區域性或地區性之關鍵基礎設施事項則負擔B級責任。至於私部門之關鍵基礎設施提供者,經主管機關考量或依其使用戶數、市佔率、區域、可替代性,認定其負擔A級或B級之資通安全責任11。
而〈資通安全事件通報及應變辦法〉,則將資通安全事件,嚴重性由低至高,分為一至四級,若涉及關鍵基礎設施維運之核心業務,或核心資通系統運作受影響或停頓,無法於可容忍中斷時間內恢復運作,屬於第四級資通案件。12
三、關鍵基礎設施保護之法源
根據國土安全辦公室發布的〈國家關鍵基礎設施領域分類〉13[13],分為八大主領域,分別為能源、水資源、通訊傳播、交通、金融、緊急救援與醫院、政府機關、科學園區與工業區14各領域之關鍵基礎設施有不同的主管機關。請參照下圖:

主管機關之變動調整
關鍵基礎設施之主管機關因應111年行政院組織法15之修正,亦有所調整。
首先,因應數位發展部及其所屬機關組織法規自中華民國111年8月27日施行,相關法律、法規命令及職權命令條文涉及其掌理事項者16,其管轄機關變更為數位發展部。
涉及關鍵基礎設施管理及保護者,包括原先由國家通訊傳播委員會主管的通訊傳播領域基礎設施,改由數位發展部負責,因此關鍵電信基礎設施指定及防護管理辦法所列屬「國家通訊傳播委員會」之權責事項,自111年8月27日起改由「數位發展部」管轄。
原行政院本資通安全處之業務移撥到數位部,升格資通安全署17,負責辦理國家資通安全政策規劃、計畫核議及督導考核,執行國家資通安全防護、演練與稽核及通訊傳播基礎設施防護及國家關鍵基礎設施資通安全管理與防護機制之規劃、推動及執行等業務。資通安全管理法之主管機關亦隨之調整,原條文中所列屬「行政院」之權責事項,自111年8月27日起原則上改由「數位發展部」管轄,僅排除關鍵基礎設施及提供者之核定18、國家資通安全發展方案之推動19及資通安全管理法施行日期之決定等權限。20
至於原先由科技部負責的科學園區與工業區之關鍵基礎設施保護,則在改制後,由國家科學及技術委員會負責21。
四、小結
觀我國關鍵基礎設施之防護體系,可以分為實體和資通安全兩層面的保護,前者由行政院國土安全政策會報、國土安全辦公室統籌,後者由行政院資通安全會報、數位發展部22資通安全署負責。由於關鍵基礎設施之防護牽涉到不同層級、不同單位,甚至橫跨公、私部門,且關鍵基礎設施有其相依性23,可能牽一髮動全身。勢必得強調跨部門的合作以及資訊共享,才能及時做出應變處理,故資通安全體系的完善,重要性日益增長,數位發展部及資通安全署的成立亦在於能有更穩定的專責部門去處理相關業務。