行政院資安處處長簡宏偉

圖片來源: 

iThome

原本希望最遲在去年立法院第九屆第二會期可以立法通過的「資通安全管理法草案」後來,因為政府資安預算與資安人力盤點的問題,一再延遲送立法院審查的時間。

行政院資安處處長簡宏偉表示,資安法仍是目前優先法案之一,行政院希望可以在釐清與其他法律之間的矛盾後,可以順利在立法院第三會期結束前(8月底前)通過資安法。

資安法將分成三梯次,分別適用三種機關類別

簡宏偉也強調,未來資通安全法如果順利立法通過後,將分成三種機關類別,分梯次適用資安管理法的規範,首先,包括中央政府和地方政府的公務機關,是最先適用資安管理法的規範,適用日期將訂在該法通過後的6個月生效。

至於其他提供關鍵基礎設施服務的產業業者,則是在該法通過後的12個月才開始適用資安管理法;至於其他非關鍵基礎設施提供者的公營事業,或者是政府捐助達一定比例的財團法人,則在資安法最後一波的適用對象,在立法通過後的18個月才生效;他指出,資安處也會在資安法通過後的24個月後,蒐集資安法適用過程中的所有狀況,並會再進行全盤的檢討。

政府對於資安管理的組織,簡宏偉表示,從最早的研考會到資通安全辦公室,到去年8月1日正式成立專屬的資通安全管理處,都透過這樣的組織來規畫政府的資安政策方針並執行相關的資安管理任務。

他強調,政府資安管理強調的是一種風險管理的概念,不需要花一百元的成本保護十元的東西,安全、便利及效率三者必須獲得平衡。

因此,簡宏偉指出,行政院希望這部以風險為核心的資安法,可以順利納管政府部門和提供關鍵基礎設施相關的非公務部門,畢竟,近幾年,關鍵基礎設施成為必須特別防護的事情,包括公務以及非公務機關也都應該在資安管理法通過後,各自訂定資通安全維護計畫及通報應變辦法。

政府目前規定有八大關鍵基礎設施,包括政府機關、電廠、金融業、水公司和交通設施都在內,他舉例,去年美國有一個大學環境控制系統因為連結網路後就遭到駭客入侵,因為這些環境控制系統的帳號密碼設定很簡單,駭客相對容易入侵。而他說,資安處也發現政府有10個機關採用和該大學同樣品牌的環控系統,所以立即要求機關調整網路架構調整和修正。

因為目前資安的範圍已經不是傳統電腦和手機,簡宏偉指出,像是無線滑鼠傳輸沒有加密,加上通訊協定很簡單,都很容易遭到冒用,這些都和每個人生活息息相關,而且,現在連許多工控系統也因為連上網路後,也都是現代資安無法漠視的重要環節。

他說:「這也是政府希望透過推動資安專法,讓資安管理可以從政府機關進一步擴及到非公務機關。」

四大國家資安發展藍圖,鼓勵優先採購臺廠資安設備

簡宏偉表示,為了打造安全可信賴的數位國家,要提升國家資安防護的能力,資安產業一定得有一定的成熟度,因此,政府在推動資安發展時,在推升資安產業自主能量時,則希望政府和企業可以優先採購臺灣自主發展的資安產品。

其次,要孕育優質資安人才,就必須建立資安快速應變小組及培育資安高等研究團隊;第三,為了完備臺灣的資安基礎,政府應該要儘速完成資安管理法的立法程序;最後,為了建構國家資安聯防體系,則完成8大關鍵資訊基礎設施及6都區域聯防體系。

他進一步指出,臺灣的資安產品一定要有空間,必須有場域讓這些資安產品有練兵、自我提升的機會,可以從政府採購著手;至於資安人才的培養,不論是經濟部、教育部或者是國防部想要打造的第四軍種,都必須要有足夠優質的資安人才作為基礎;為了滿足政府和產業對資安人才的需求,也必須讓產業界、學界和軍方有能力結合。

從農曆春節過後,臺灣券商遭到集體DDoS的攻擊和勒索,更早之前,也有臺灣的遊戲業者遭駭。簡宏偉表示,剛開始單一遊戲業者遭到DDoS攻擊與勒索時,並不知道應該要和哪些單位聯繫或通報,但金融業者因為是集體遭駭,主管機關和資安處、國安會等,也都出面協助。

他認為,政府一個重要的責任就是應該要推動整個聯防體系,從中央政府到地方政府,以及各個產業等,進一步就要做到國際聯防,提升臺灣整體的資安防護能力。

而政府一直在持續堆動的資安管理法立法,簡宏偉認為,這是完善資安基礎環境的重要環節,立法的目的其實就是著重於保護國家安全和維護社會公共利益,也必須要同時推動臺灣資安產業前進,推動國家資安安全政策和建構資通安全環境。

他也說,目前資安管理法鎖定的立法對象是公務機關(包括:中央政府、地方政府和行政法人)以及非公務機關(主要鎖定關鍵基礎設施提供者),至於其他非關鍵基礎建設提供者的公營事業或財團法人,可以之後評估是否納入規範。以目前台灣發生的案例來看,不僅是遊戲業、金融業,連學校都已經成為駭客鎖定的目標。

資安旗艦計畫優先採購國產資安產品,立法後6個月開始適用

簡宏偉表示,目前政府機關資安長是兼職的性質,仍要負起資安管理的責任,像是美國資訊長和資安長關係不是每個都一致,有的是CISO,資安長扮演輔助資訊長的角色;另外也有資訊長和資安長平行,資安長扮演類似稽核和審計角色,所以,目前很難真正定義資安長與資訊長的差別。

但可以肯定的是,因為資安規範多,朝向專責資安長是趨勢,相關的資安管理則必須由資安長督導、落實。他也說,資安管理法有承諾立法院會提供年度說明,包括針對各個機關部會的稽核成果,也會對外公開。

他強調,「資安管理法規範得對象是組織,」不論是中央和地方政府依法來講,都是一體適用。

而在區域資安聯防的部份,他希望地方政府可以採用區域合作的概念,由某個直轄市帶領周遭縣市政府成立區域聯防機制,預計今年開始,會先挑一兩個直轄市試辦,先做區域資安聯防,最終擴大到全省六個區域聯防中心。

資安處成立後,各部會也提報資安旗艦計畫,一年約十億元。簡宏偉表示,部會在參與每個資安旗艦計畫時候,必須以國內資安自主產品優先,如果不能採購國產資安產品的話,則必須要先提出評估報告,希望可以經由各種公協會一起幫忙。

他認為,臺灣資安業者不要只是習慣做小的資安產品,最好是要能夠提供資安服務,「政府能做的就是,建立一個自由競爭的環境,但是國產資安業者提供的資安服務,一定要可以用才行。」他說。

目前資安管理法的規範,簡宏偉指出,如果順利通過資安管理法的立法程序後,公務機關在通過後半年,優先適用資安法;關鍵基礎設施提供者則是立法後1年才開始適用資安法。

至於非關鍵基礎設施提供者的公營事業單位,或者是政府捐助達一定比例的財團法人單位,則在該法通過後的一年半開始適用。資安處也會在資安管理法通過後2年,重新檢討資安管理法的適用範圍。

 相關報導 2017臺灣資安大會直擊(下)


Advertisement

更多 iThome相關內容