關鍵基礎設施提供者之指定程序與義務
Tags: ,

◎ 繆欣儒(台灣大學法律學研究所碩士生)

Image by Ulrike Leone from Pixabay

一、關鍵基礎設施提供者之指定程序

關鍵基礎設施(Critical Infrastructure, CI)按資通安全管理法(以下稱本法)第3條第7款係指「實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域1」,關鍵基礎設施提供者則是指「維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者2」。

關鍵基礎設施提供者之指定程序,按本法第16條第1項:「中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後,指定關鍵基礎設施提供者,報請主管機關核定,並以書面通知受核定者。」,可知關鍵基礎設施提供者是由中央目的事業主管機關先行徵詢意見後指定,並經報請主管機關行政院核定後,再以書面通知受核定者

而為協助中央目的事業主管機關指定關鍵基礎設施提供者,數位發展部資通安全署(前行政院資通安全處)更進一步訂定了「關鍵基礎設施提供者指定程序」,(下稱指定程序),將指定程序分為四大步驟:

  1. 「辨識關鍵領域」;
  2. 「辨識關鍵服務」;
  3. 「辨識關鍵(資訊)基礎設施」;
  4. 「核定關鍵基礎設施提供者」3

此四步驟中,首先「辨識關鍵領域」是指行政院進行國家層級風險分析選定領域;其次「辨識關鍵服務」是指由中央目的事業主管機關盤點領域服務,再與行政院共同選定領域服務;接續「辨識關鍵(資訊)基礎設施」是指各中央目的事業主管機關應依據「國家關鍵基礎設施安全防護指導綱要」規定盤點與清查本法規定之所屬、所監督及所管之公務機關及特定非公務機關,與所轄領域中之民間設施或組織,屬符合本法第3條第7款規定所指關鍵基礎設施之意涵者,並自行訂定重要性評量基準,而後由(候選)關鍵基礎設施提供者自評重要性,再由各中央目的事業主管機關篩選關鍵基礎設施與關鍵資訊基礎設施;最後「核定關鍵基礎設施提供者」則是指各中央目的事業主管機關應以篩選出之「關鍵資訊基礎設施為」基礎,辨識候選關鍵基礎設施提供者4,所謂關鍵基礎設施提供者應是維持關鍵基礎設施穩定營運者(系統維管者),而非使用關鍵基礎設施者。各中央目的事業主管機關並應評定候選關鍵基礎設施提供者資通安全責任等級5,與應召開意見徵詢會議循本法第16條第1項徵詢相關公務機關、民間團體、專家學者意見,同時依本法施行細則第9條規定給予擬指定之關鍵基礎設施提供者陳述意見之機會。經上述流程後,中央目的事業主管機關應參考意見徵詢會議結論,決定關鍵基礎設施、關鍵基礎設施提供者,並彙報行政院,此後再由行政院審查與核定關鍵基礎設施提供者及其資通安全責任等級。中央目的事業主管機關受行政院通知後,應以書面通知受核定者,該通知函上並應載明下列二事項:一、其經中央目的事業主管機關依本法第16條第1項規定指定為關鍵基礎設施提供者。二、本案以中央目的事業主管機關為原行政處分機關,受指定者如有不服,得依訴願法第14條、第56條、第58條規定,於收受本函之次日起30日內,繕具訴願書,經原行政處分機關重新審查後,轉行政院提起訴願6

(指定程序圖片可參考:關鍵基礎設施提供者指定程序圖7

二、關鍵基礎設施提供者之義務

按資通安全責任等級分級辦法(下稱本辦法)第2條8:「公務機關及特定非公務機關(下稱各機關)之資通安全責任等級,由高至低,分為A級、B級、C級、D級、E級」。本辦法區分各等級之考量因素有如該機關涉及業務事項與其影響、系統維運所跨地區範圍、該機關業務涉及之個人資料範圍、該醫院等級⋯⋯9,舉例如以下事項:

  1. 該機關業務是否涉及「國家機密、外交、國防或國土安全事項」,或涉及「公務機關捐助、資助或研發之國家核心科技資訊之安全維護及管理」。
  2. 該機關業務是否涉及「全國性」或「區域性或地區性」民眾服務或跨公務機關共用性資通系統之維運。
  3. 該機關業務是否涉及「全國性民眾或公務員」或「區域性或地區性民眾」個人資料檔案之持有。
  4. 是否屬公務機關,且業務涉及「全國性」或「區域性或地區性」之關鍵基礎設施事項。
  5. 業務涉及中央二級機關及所屬各級機關(構)共用性資通系統之維運。
  6. 屬關鍵基礎設施提供者,且業務經中央目的事業主管機關考量其提供或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性,認其資通系統失效或受影響,對社會公共利益、民心士氣或民眾生命、身體、財產安全將產生「災難性或非常嚴重之影響」或將產生「嚴重影響」。
  7. 屬「公立醫學中心」或「公立區域醫院或地區醫院」。

各機關符合上列條件者將被分為A級或B級,關鍵基礎設施提供者原則上亦會被分為A級或B級之等級。按資通安全管理法規定,關鍵基礎設施提供者具以下義務

  1. 關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,「訂定、修正及實施資通安全維護計畫10」。
  2. 關鍵基礎設施提供者應向中央目的事業主管機關「提出資通安全維護計畫實施情形11
  3. 關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應「提出改善報告」,送交中央目的事業主管機關12
  4. 關鍵基礎設施提供者(特定非公務機關)為因應資通安全事件,應遵循「通報及應變義務13,亦即應「訂定通報及應變機制」、「於知悉資通安全事件時,應向中央目的事業主管機關通報」、「應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交主管機關14

違反上述任一情形者,由中央目的事業主管機關令限期改正;屆期未改正者,將按次處新臺幣十萬元以上一百萬元以下罰鍰15。違反資通安全事件之通報義務而未通報者16,則由中央目的事業主管機關處新臺幣三十萬元以上五百萬元以下罰鍰,並令限期改正;屆期未改正者,按次處罰之17

數位發展部資通安全署之網頁上有提供前述「資通安全維護計畫」之範本,以供各機關自行參考撰寫。範本中部分事項如資通安全人員專責人數、資安專職(責)人員專業職能之培養、資通安全防護及控制措施…等,內文中敘明請各機關依資通安全責任等級分級辦法規定內容自行修改相關內容。18

再按資通安全責任等級分級辦法第11條第1項:「各機關應依其資通安全責任等級,辦理附表一至附表八之事項。」與附表一至八之內文,各機關應依其資通安全責任等級及其屬公務機關或特定非公務機關之區分,辦理附表中所列之應辦事項。資通安全責任等級為A級、B級、C級者,附表中所列應辦事項區分管理面、技術面、認知與訓練三方面,並區分公務機關與特定非公務機關應辦事項有所不同,而資通安全責任等級為D級者有技術面、認知與訓練二方面,E級者則僅有認知與訓練此方面,可見其對不同資通安全責任等級與公務或特定非公務機關有不同程度之要求。