圖片來源: 

iThome

由於「數位國家、創新經濟」是未來行政院重要的發展政策方針,而兼任政府資訊長與資安長的科技政委吳政忠,也在上任後不久便對外宣示,為了擺脫過去代工時代的思維,新政府接手後立即盤點不符數位經濟時代的相關法規,資通安全相關法規就是其中一項。

為了要打造數位經濟時代的創新生態系統,吳政忠更要求,在今年8月1日才正式成立的行政院資通安全辦公室,應該立即著手訂定新版的資通安全管理法草案,更下達軍令狀,要求資安管理法務必在年底前,完成立法院相關的三讀程序,作為確保國家邁向數位國家政策發展的基礎,創新經濟政策發展的安全基石。

資安管理法預計11月將送立法院審查

行政院的資通安全管理處是一個國家級的資安專責單位,英文名稱「Department of Cyber Security」可以看出來,資安處未來工作重心就是網路世界的資安,並由前國發會資管處處長簡宏偉,擔任第一任行政院資安處處長。

簡宏偉上任後的首要任務就是,讓資安管理法完成立法院三讀程序。至於資安管理法為什麼重要?他認為答案其實很簡單,當政府通過資安管理法後,可以規範各個目的事業主管機關對於下轄單位,一旦爆發資安事件時,有一個一致性的處理標準;至於法律本身,仍採用原則性的規範,避免有任何異動,就必須付諸修法。

簡宏偉指出,資安處在8月1日成立後,花一個月時間草擬一個資安處版的草案,隨後召開6場法案座談會後,也在9月22日~10月5日,在國發會公共政策網路參與平臺Join中,徵詢各界網友意見,預計在10月中旬,將資安管理法提報行政院院會進行審查,最晚將於11月送交立法院進行三讀的立法程序。

在行政院37個優先法案中,資安管理法列為第24案,未來審查過程中如果沒有太大爭議,將有機會可望在年底前通過。

納管關鍵基礎設施已經是國際主流趨勢

不論是美國、歐洲或者是日本、韓國等,都先後制定所謂的資安專法,除了規範公務機關外,多數也包含關鍵基礎設施服務提供者的非公務機關。臺灣在設計資安管理法時,主要是參考美國的聯邦資訊安全現代化法案(FISMA),但資策會科技法律中心主任顧振豪表示,該法原本並沒有納入關鍵基礎設施。不過,當許多關鍵基礎設施一旦失效或當機,將嚴重影響許多民眾的安全,陸續有許多國家包含美國在內,在制定相關資安法律時,會納入該國關鍵基礎設施。

他表示,臺灣立法跟上這樣的趨勢,除了參考日本在2014年通過的「網路安全基本法」,納入關鍵基礎設施的保護外,也擷取2016年6月德國國會正式通過的「資訊科技安全法」,納管關鍵基礎設施營運者的立法精神。

顧振豪表示,從他國立法的經驗來看,納管關鍵基礎設施除了是國際趨勢外,對於國家科技實力提升,具有實際的幫助,像是德國更認為這將有助於強化德國資訊科技安全企業的競爭能力,進而提高外銷能力。

臺灣關鍵基礎設施分類參考國土安全辦公室分類

為了讓政府的規範一致,資安管理法中對於關鍵基礎設施的規定,則參考行政院國土安全辦公室的相關規定。行政院國土安全辦公室主任黃俊泰指出,依據「關鍵基礎設施安全防護指導綱要」,臺灣的關鍵基礎設施(CI)分類採取三層架構,第一層為主部門(Sector),第二層為次部門(Sub-sector),第三層則為重要元件設施。

黃俊泰表示,目前常見的八大關鍵基礎設施,指的就是主部門的八個分類,包括:能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八類。

他也說,目前國土安全保護法還在草擬當中,對於非公務機關的關鍵基礎設施,因為缺乏法源依據,過往只能由各部會鼓勵民間企業參與,但若以長期對於關鍵基礎設施保護的目標來看,仍應建立一個非公務機關關鍵基礎設施安全規範和標準,必要時,可以採取必要措施來監督並確保公共利益不會受損;短期內,可以透過行政命令方式解決當務之急。

例如,遠通電收ETC當年宣稱遭到駭客80億次攻擊,當時擔任行政院政務委員的張善政下令,要求遠通電收在內、與民眾權益相關的BOT專案,都必須做資安事件通報,當時也派員到現場了解受駭狀況。

公務與非公務機關,都負有資安通報和資訊分享的義務

簡宏偉表示,未來除了現有的公務機關,依照資安管理法的規定,一旦爆發資安事件,必須強制通報給行政院以及上級機關之外;非公務機關包含的關鍵基礎設施提供者,以及適用資安責任等級分級及受指定之非公務機關的產品或服務,在該法中也規定,將強制通報給中央目的事業主管機關,資安處將會和主管機關採取密切合作。

至於,其他的非公務機則也可以採取自願的方式,將爆發的資安事件主動通報到相關的主管機關。

「不僅要資安通報,更要做到資安資訊分享,才有機會做到資安預警。」簡宏偉表示,未來資安處也會建立一個國家層級的資安情資分享單位,包括國家級的SOC(資安監控中心)、國家級的ISAC(資訊分享與分析中心)和國家級的CERT(電腦緊急應變小組),讓所有的資安情資可以共享。

另外,關鍵基礎設施提供者也會各自打造該領域的SOC、ISAC和CERT,由行政院資安會報指導成立各關鍵基礎設施資安指導推動小組,並由該關鍵基礎設施的主管機關召開各關鍵基礎設施資安會報;而企業組織層級除了可以透過資安服務管理業者(MSSP)提供資安監控服務外,企業也應該自行建立各自的CSIRT(電腦安全事件應變小組),才能夠打造完整的資安縱深防禦體系。

仿個資法架構制定資安管理法

政院版資安管理法草案架構分成五個章節,條文共計24條,第一章總則中,主要是規範立法目的、名詞定義、資通安全產業的推動、行政院職責、幕僚任務委任或委託、資安責任等級分級、情資分享機制,以及資通委外監督等8條條文。

第二章和第三章則參考個資法架構,分別是針對公務機關以及非公務機關的資通安全管理做規範,前者主要是針對公務機關做資通安全管理與維護計畫、資通安全長的設置、年度資通安全報告提出、資通安全查核、通報應變措施及獎懲措施的規範;後者則以關鍵基礎設施提供者資通安全維護的管理與監督、受指定之非公務機關所提供之產品或服務資通安全管理之管理與監督、資通安全事件通報應變,以及如何進行行政檢查為主。

目前第四章規範的罰則以行政處罰為主,主要規範非公務機關,依照情結輕重有不同的罰鍰,沒有制定相關的資通安全維護計畫,可處新臺幣10萬元以上、200萬元以下的罰鍰;如果沒有在期限內改正,還可以繼續處罰;沒有依照規定通報資安事件,處10萬元以上、100萬元以下罰鍰;期限內沒有改正,仍可以繼續處罰。不過,簡宏偉表示,目前各界對於罰則的內容,是否應該要處以比較重的罰則有不同意見,仍會進一步聽取各界意見後,再納入行政院版本中。

簡宏偉表示,資安管理法是資安治理法制化第一步,有資安管理法授權,行政部門才能依法行政。例如,一旦與民生安全相關的關鍵基礎設施提供者爆發資安危機時,有了資安管理法的法源授權依據,相關主管機關就可以強制要求受駭的關鍵基礎設施提供者,進行相關的通報應變措施,藉此確保更大多數使用者的安全性。

 相關報導  資安管理法草案出爐


Advertisement

更多 iThome相關內容