【業界心聲】公司規模小不用怕被資安管理法管，可思考產

william77

目前受資安管理法規範的產業別中，若因規模太小或沒有經費委外，翟本喬建議可聯合整體產業業者，將資安委外給單一的資安業者，以提供相關服務。

由於資安管理法的立法架構，是參考個資法中分成公務機關與非公務機關兩部分，故剛開始舉辦資安管理法說明會時，許多企業對於非公務機關納管範圍，究竟包含哪些產業別，疑慮最深。和沛科技總經理翟本喬表示，在歷次討論會中，已確認非公務機關的納管範圍，將以對民生安全影響最大的八大關鍵基礎設施為主，並且取消由主管機關指定的產業受到該法規範字眼。
不過，目前受資安管理法規範的產業別中，如油、水、電和天然氣等，本身就是某種特許或是受保護產業，規模大小不一，若因產業規模太小或是沒有經費委外，翟本喬甚至建議，可聯合整體產業業者，將資安委外給單一的資安業者，以提供相關服務，如單一的瓦斯業者、運輸業者的規模較小，能聯合整體產業，將資安委外給同一家資安業者。
而共同將資安委外過程中，他認為，應該可以依照業者的營收或者是運輸量等方式，由業者按比例支付相關的資安委外費用，既符合使用者付費的概念，也可以做到即便單一業者的規模較小，仍然可以藉由資安聯合委外的方式，獲得良好的資安防護。
有罰也應有獎勵，投資抵減可以鼓勵企業落實資安
至於在罰則規範上，翟本喬指出，中央目的事業主管機關應該要趁此時，整合相關罰則，讓資安法規和處罰可以彙整，有助於產業遵循法規。而像是資安組織架構的範本，他則建議，主管機關應提供範本供非公務機關參考，畢竟，仍有不少受規範的非公務機關，不熟悉如何制定資安組織架構，有範本參考。
當然，翟本喬也引述某位金融業資訊主管的建議，他認為，資安管理法目前只規範罰則並沒有相對應獎勵措施，是否可由政府出面，針對非公務機關的資安投資，列入資安投資抵減的項目中，讓非公務機關更有動力落實資安。當然，這中間還是有討論的空間，可以肯定的是，一旦可投資抵減，未來法規需要更簡化，讓非公務機關可享受到相關的便利與效益。