長期關心資安法的民進黨立法委員余宛如表示,國家資安政策的推動,並不是只有單靠一部資安法就可以成事,重點在於,必須要有一套完善的系統(圖片來源/立法委員余宛如辦公室)

在歷經多次的開會與討論,《資通安全管理法》終於在5月11日於立法院完成三讀程序,長期關心該法動態的民進黨立法委員余宛如表示,臺灣的這部資安法其實是妥協之下的產物,因為,國家資安政策的推動,並不是只有單靠一部資安法就可以成事,重點在於,必須要有一套完善的系統,從標準到人才養成以及觀念提升等,都應該透過彼此分工、綿密鋪陳,「資安法的過關,絕對不是要引發新一波的軟體戰爭,而是要打造更完善的資安系統與架構。」她說。

美國在資安發展戰略算是領先指標,早在2002年就打造一套《聯邦資訊安全管理法案(FISMA)》治理架構,中間並經歷二次的修法調整,這也意味著,美國藉由國家資安的高度,帶動美國資安產業的發展並提升相關的資安標準。

她進一步解釋,美國的關鍵基礎設施會分成公、私兩大部門,透過打造一套公私部門都願意接受的資安認證體系,就看相關業者要做多大規模的生意,只要他們要接政府部門的生意,都必須主動符合這套體系標準,對於政府在資安採購上,也有一套很好的參考依據。

另外,美國國家標準技術研究院(NIST)也針對公務部門,提供一套資安標準,而國土安全辦公室則是作為政策制度與監督的角色。余宛如認為,未來,臺灣在制定相關的資安標準時,除了要做到盡量和國際接軌之外,也可以參考美國的作法,將標準制定者和監督者區隔開來,以減少球員兼裁判帶來的疑慮。

而在《資通安全管理法》三讀版本中,最終拿掉原本第18條的行政檢查條文,因為沒有明確定義關鍵基礎設施業者是哪些的情況下,也造成許多民營業者的恐慌。

最明顯的例子就是,國土安全辦公室原本的八大關鍵基礎設施中,有一個「科學園區」,但因為定義不明,就是是只要在園區的業者都算是關鍵基礎設施業者都算呢?還是特定的業者才算呢?因此,最後便以特定非公務機關來指涉原先的關鍵基礎設施業者。

「資安法通過後,關鍵基礎設施業者的系統,只要與網路相關的部份,都在該法的規範之內。」余宛如說。

余宛如認為,《資通安全管理法》通過後,還有許多子法必須跟上來,要先做到政府可以落實應該有的資安防護,並且把政府資安機構做分級、分類,招募並培訓資安人才,並打造資安防護流程的SOP(標準作業程序)。

她也強調,現在外界對於資安法仍有許多不了解和疑慮,未來在制定子法的同時,與各界的溝通依舊不可少,不論未來是否有機會打造資訊總處或資安總處這樣的獨立專責機構,但可以確定的是,《資通安全管理法》三讀過關,的確是臺灣資安發展史上重要關鍵的第一步。

 相關資料  資通安全管理法立院三讀通過條文


Advertisement

更多 iThome相關內容