行政院資通安全處自從八月一日正式成立後,近期也如火如荼針對資通安全管理法草案,舉辦各種會議、蒐集各界意見,而資安管理法草案因為仿效個資法的立法精神,除了規範公務機關外,也同樣規範非公務機關,造成許多企業的恐慌。
行政院資安處處長簡宏偉則對外澄清,該法所規範的非公務機關主要是以國土安全辦公室所規範的八大關鍵基礎建設產業為主,一般的產業,例如擔心會納入規範的電子商務業者或者是網路業者等,除非是提供相關關鍵基礎建設服務的業者,不然,都不會納入在資安管理法的規範之中。當然,他也強調,政府也不會貿然指定其他適用資安管理法的特定產業,未來一切都會以正面表列的方式,清楚列出受到資安管理法規範的產業供大眾知悉。
為了鼓勵非公務機關更樂於投資資安相關的產品和服務,甚至聘用相關的資安人才等等,日前則有產業代表建議,政府應該可以透過「資安投資抵減」的方式,讓這些非公務機關對於資安的投資,都可以作為公司減稅的項目之一,有了資安投資抵減的誘因,將可以大幅驅動更多的非公務機關,更願意將金錢投資在做資安產品、服務和人才等採購上。
八大關鍵基礎建設產業,e化程度落差大
資安管理法中所規範的非公務機關,主要是以八大關鍵基礎建設產業為主,根據行政院國土安全辦公室的分類,主要產業類別以:能源、水資源、資通訊、交通、銀行與金融、緊急救援與醫院、中央政府和高科技園區等八類。
不過,這八類關鍵基礎建設產業若進一步細分,其公司企業的e化程度,卻有著天壤之別,而這中間的e化鴻溝,就可能是資安管理法能否真正落實的關鍵之一。
其中,像是交通、銀行與金融、緊急救援與醫院等產業,其主管機關分別是交通部、金管會和衛福部等,因為這些產業特性的緣故,原本的主管機關對相關產業的管制就相當嚴格,管制的範圍從產業的營運到法規遵循的要求等等,幾乎都在主管機關的掌控之中。基本上,這些受到主管機關高度控管的關鍵基礎建設產業別,往往只要能夠按照主管機關的規定,落實相關的管制措施和法規遵循項目,對於相關資安的落實與否,往往問題並不大。
不過,其餘由國營會管理的,像是油水電瓦斯等國營事業單位,或者是民營的油水電瓦斯等行業,雖然國營和民營單位經營的都是相同產業,雖然國營會管理的油水電瓦斯都屬於國營事業,但是,不論是國營或民營的相同產業,或者是國營事業中的不同產業等,彼此之間的e化程度則有極大的落差,而這樣的落差,也讓這些單位在面對必須納入資安管理法的規範時,感到惶惶不安。
舉例而言,油水電等產業都算是比較有錢有人有能力的單位,但是,國營事業的獲利一般都比民營事業好,而這些由民營事業經營的產業,有些時候也是國營事業的供應商,例如賣電給臺電的民營電業業者等;而瓦斯和天然氣等業者,則是產業規模和獲利相對較少的產業,這些業者在面對資安管理法即將納管的同時,則開始擔心自己對於資安落實的無能為力。
也因為不同的產業有不同的e化程度和可以動用的資源,面對資安處將納管這些與民眾生活息息相關的關鍵基礎建設產業時,怎麼讓這些關鍵基礎建設產業,願意且更有動力的把相關資源投注在資安防護上,包括設備、服務和人才等,勢必一定要有其他的誘因,才能夠達到相輔相成的效果,其他製造業、服務業甚至金融業經常使用的「投資抵減」手段,將對相關業者帶來更大的誘因。
針對非公務機關推出資安投資抵減,可以少繳營所稅
所謂的投資抵減,其實最早是政府在獎勵投資條例以及促進產業升級條例中,針對適用企業所推出的租稅優惠措施,而其中,促進產業升級條例的租稅優惠則在2009年12月31日施行期滿後,則另外制定產業創新條例作為接續法律,並在2010年5月12日通過,並追溯到2010年1月1日施行。
而目前,除了在產業創新條例中,為了鼓勵企業的研究發展支出,相關的研究發展經費可以做投資抵減;其他還包括:中小企業發展條例研究發展支出、生技新藥產業發展條例研究發展支出及人才培訓支出、股東投資抵減,以及機器設備及技術等,都可以做相關的投資抵減。
而企業在某一個項目的投資,不論是產品、服務的採購,甚至是人才的聘僱等,這樣的作為都有助於該公司產品或服務的優化和提升的同時,政府為了鼓勵企業可以朝這樣的正面方向前進,透過投資抵減的手段,讓企業在相關提升自我能力的投資,在一定金額比例內,都可以享有17%營業綜合所得稅減免的優惠。
而資安對於八大關鍵基礎建設產業而言,都是一種對自我服務提升和優化的投資,如果,相關產業對於資安相關的產品和服務採購以及人才的聘僱,都可以做相關的資安投資抵減的話,企業可以實質上獲得更高的免稅額度,都可以少繳一點稅,對這些非公務機關而言,都會有比較正面的驅動力,更有意願去投資資安。
舉例而言,如果企業今年在資安相關的投資達800萬,營業綜合所得稅為17%,企業可以在全年營收,先扣掉800萬的資安支出後,再去計算17%的營所稅。因為這類的投資抵減只要符合政策規範,就是全部抵減,這種形同另類的減稅手段,也會讓企業在面對包括主管機關以及資安處的各種資安要求時,也會比較心甘情願的去落實。
只不過,政府在產業創新條例中所規定的投資抵減項目,都必須具有「高度創新」的特質,可以申請並符合相關投資抵減的企業數量,遠遠少於最早推出的促進產業升級條例中,所適用的投資抵減的範圍。因為相關投資抵減的申請越來越難通過,未來,資安處若要鼓勵企業做資安投資抵減的同時,一定要同時推出相關的申請範本,提供給需要申請資安投資抵減的非公務機關參考,以免淪為「不教而殺謂之虐」的景況。
產業代表除了提供資安投資抵減的建議之外,針對許多產業規模較小的非公務機關,例如瓦斯或天然氣業者的產業規模,其實比油水電公司都小,也建議,可以嘗試做聯合資安委外,讓這類非公務機關依照產業規模,共同將資安委外給選定的資安委外業者,共同打造產業所屬的資安監控中心(SOC),並將獲得相關的資安資訊,進一步分享給其他產業與政府成立的資安資訊分享與分析中心(G-ISAC)。
上週重要資安新聞(9/11~9/17):
※微軟一口氣修補47個漏洞,包含藏匿至少8年的Detours漏洞
※生物辨識強化支付安全,螞蟻金服買下美國眼球掃描新創EyeVerify
※MySQL驚爆零時差漏洞,殃及MariaDB與Percona DB
※惡意程式滲透Google Play,可能殃及250萬Android用戶
※全球最大DDoS服務vDOS兩年進帳逾60萬美元,兩名18歲首腦被逮
熱門新聞
2024-10-05
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07