「資通安全管理法修正草案」，請審議案。

本院委員葛如鈞、楊瓊瓔、黃健豪、蘇清泉等21人，為因應數位發展部（以下簡稱數發部）於一百十一年八月二十七日成立，掌理國家資通安全業務，掌理國家資通安全之規劃、推動與執行，以及為使資通安全管理法（以下簡稱本法）規範事項更符合實務運作。爰擬具「資通安全管理法修正草案」。是否有當？敬請公決。

一、修正本法之主管機關為數發部。（修正條文第二條）
二、修正資通安全、資通安全事件、公務機關、特定非公務機關、關鍵基礎設施、關鍵資通基礎設施提供者及特定財團法人之定義。（修正條文第三條）
三、為提升資通安全，增訂政府應提供資源，協助民間處理、因應及防範資通安全事件。（修正條文第四條）
四、為建構我國資通安全整體環境，協調各機關間資通安全相關事務，健全我國整體資通安全管理，強化橫向溝通聯繫機制，將現行國家資通安全會報明文入法，並定明由行政院院長擔任召集人。（修正條文第五條）
五、擴大稽核範圍，增訂數發部應定期或不定期稽核公務機關及特定非公務機關之資通安全維護計畫實施情形，並由數位發展部資通安全署擬訂年度稽核計畫，送由主管機關報請行政院核定後辦理，年度計畫及年度成果報告應送交國家資通安全會報備查。（修正條文第八條）
六、強化各機關落實委外辦理資通系統建置、維運、服務提供之監督管理機制。（修正條文第十條）
七、增訂公務機關及特定非公務機關應規劃並於公正第三方監督下，辦理資通安全演練作業，並於完成後一個月內，將執行情形及成果報告送交主管機關。（修正條文第十一條）
八、增訂公務機關不得採購、下載、安裝或使用危害國家資通安全產品；有關危害國家資通安全產品之審查程序、風險評估、情資分享、使用限制級其他相關事項之辦法，由主管機關會商有關機關擬訂，報請行政院核定之。（修正條文第十三條）
九、修正公務機關資通安全維護計畫實施情形之收受機關及稽核機關。（修正條文第十五條及第十六條）
十、增訂公務機關之稽核發現有缺失時，稽核結果及改善報告之收受機關，以及該等機關得要求受稽核機關進行說明或調整之規定。（修正條文第十七條）
十一、明定公務機關及特定非公務機關應配合數發部辦理資通安全事件通報及應變機制之演練作業授權項目。（修正條文第十八條及第二十五條）
十二、修正公務機關應符合其資通安全責任等級之要求，設置專職人員辦理資通安全業務；主管機關應妥善規劃並加強專職人員之專業訓練，以增進其資通安全專業知能。（修正條文第十九條）
十三、增訂資安人員類一條鞭制度，重大資安事件數發部得調度各機關資通安全人員以實體或線上等方式支援。（修正條文第二十條）
十四、增訂特定非公務機關應置資通安全長及應符合資通安全責任等級要求設置專職人員。（修正條文第二十一條、第二十二條及第二十三條）
十五、增訂中央目的事業主管機關應定期稽核關鍵資通基礎設施提供者資通安全維護計畫之實施情形。（修正條文第二十二條）
十六、增訂中央目的事業主管機關應依數發部指定之方式，將稽核結果及改善報告送交數發部之規定。（修正條文第二十三條）
十七、為強化特定非公務機關重大資通安全事件應處，增訂中央目的事業主管機關行政調查之權限，受調查者不得規避、妨害或拒絕，並明定相關罰則，以精進資通安全風險管理；中央目的事業主管機關為調查特定非公務機關發生之重大資通安全事件，請求數發部協助時，數發部應提供其所需求之相關協助。（修正條文第二十六條及第三十條）
十八、增訂數發部及公務機關辦理本法所定事項委任、委託之依據，並定明委任、委託或複委託者之保密義務。（修正條文第三十三條）
十九、增訂資通安全事件如涉個人資料檔案外洩，應另依個人資料保護法及其相關法令規定辦理。（修正條文第三十四條）