資安管理法6個子法,是為了補足資安管理法母法中,來不及詳述的規範內容,透過資安法施行細則補足應該要如何制定資安維護計畫,最重要的關鍵點就是,如何透過資安責任等級分級辦法,將公務以及非公務機關依照業務以及系統的重要性,和牽涉範圍是全球性、區域性、地區性等差異,依照重要性高低分成ABCD等4級,並首度訂出一個不納管的E級機關。(資料來源:行政院資安處,2018年7月)

延宕許久的《資通安全管理法》(簡稱《資安法》)終於在今年5月11日立法院三讀過關,總統府也於6月6日正式公布該法。不過,《資安法》本身是一個提綱挈領的資安大原則,行政院資安處處長簡宏偉表示,有許多更細部的規範,則有賴6個子法進一步闡述說明。

對此,行政院資安處也在今年7月9日,正式對外公布包括:《資通安全管理法施行細則草案》、《資通安全責任等級分級辦法草案》、《資通安全事件通報及應變辦法草案》、《特定非公務機關資通安全維護計畫實施情形稽核辦法草案》、《資通安全情資分享辦法草案》以及《公務機關所屬人員資通安全事項獎懲辦法草案》等6個子法的草案內容,並依法對外預告60天。

簡宏偉指出,在預告的二個月內,也會在八月和九月同步舉辦多場座談會,如果各界對於子法有疑慮或建議,可以在公開的座談會中提出相關的看法外,也可以上國發會「眾開講」的平臺表達意見;在彙整各界意見後,則會將這6個資安法相關的子法,送交立法院備查。

《資安法》第23條規定,施行日期將由主管機關訂定,簡宏偉表示,依照子法預告以及規範適法機關所要面對的程序和作法,參照目前適法機關的準備時間,暫定將於2019年1月1日正式施行。

行政院資安處處長簡宏偉表示,資安法的6個子法終於在7月9日對外預告,對於條文內容有意見或想法的民眾,都可以在舉辦的座談會中提出看法,也可以直接到國發會「眾開講」的公共平臺表達意見。 (攝影/洪政偉)

根據母法資安法制定6大子法,資安處也會提供文件範本參考

《資安法》今年3月~5月時,舉辦二階段、共計14場座談會,也事先收集各界對於《資安法》及其6大子法的建議,而在7月9日,行政院針對6個資安法子法,進行為期60天的預告期間,也會在8月、9月陸續舉辦其他的座談會。

簡宏偉表示,除了持續蒐集各界對於資安法子法的建議外,還會針對公務機關以及特定非公務機關,舉辦到底該如何因應資安法規範的座談會,就是從實作面來看,希望讓這些適用資安法的機關單位,可以知道後續在適法性上有哪些文件要準備、哪些作為要執行,未來,行政院資安處也會準備相關的程序和相關文件範本,作為機關的參考。

簡宏偉表示,《資安管理法》就規定要明訂6個子法,而《資通安全管理法施行細則草案》主要是,針對資通安全維護計畫實施情形的稽核結果,提供相關的改善報告,包含委外和客製化系統的建置、維運和相關服務提供等,藉由稽核或其他適當的方式,確認受委託的業務執行狀況。

資安責任列公務員獎懲參考,「應做未做才罰」是核心精神

若以適用對象來看,資安法主要適用的對象,可以分成公務機關以及特定非公務機關,前者包含中央與地方政府以及公法人外,後者主要是以關鍵基礎設施提供者、公營事業以及政府捐助的財團法人為主;其中,針對公務機關所屬人員,也制定資通安全事項獎懲辦法,就是希望可以提升公務人員對於維護資訊安全的責任和意識。

至於對於罰則的部份,有許多公務人員認為,許多機關在沒人、沒錢甚至長官不支持的前提下,將資安落實與否列為公務人員獎懲的範圍,其實並不妥當,也無法收到正面效果。

簡宏偉則重申,「應做未做的部份才會處罰,」並不是有出事、發生事情就會處罰,他認為,主管機關如果只會一昧指責、懲處這樣的作法,對於提升適法機關的資安意識與強化資安相關的作為,並沒有幫助。而人事總處也表示,未來這些資安相關的指標,都只是公務人員獎懲的參考之一,也降低公務人員的憂心。

資安事件通報依情節輕重,分成第一級~第四級

另外,機關落實資安法也可以分成「事前」、「事中」和「事後」有不同因應措施,並制定相對應的資安法子法作為應變的參考基準。

簡宏偉表示,在「事前」,所有的適法機關一定要制定的規範,除了資安法施行細則中,針對公務機關以及特定非公務機關要求一定要制定的「資通安全維護計畫」之外,就是針對如何訂定通報應變機制而制定的《資通安全事件通報及應變辦法草案》。

目前資通安全事件分成四級,依照事情的嚴重性,從輕到重,分別是第一級到第四級。第一級和第二級主要是非核心業務資訊系統,依照洩漏程度分輕重,這也是目前政府部門最常面對到的資安事件種類;第三級和第四級則通常會涉及到,核心業務資訊系統有沒有遭到輕微或嚴重的資訊洩漏,輕微者列為第三級,嚴重者列為第四級。以去年度政府遭遇到的資安事件種類來看,政府機關還沒有遭遇到第四級、最嚴重的資安事件。

資安事件的通報應變方式,一定都必須在「事前」完成規畫與制定,一旦「事中」遇到第一級~第四級的資安事件時,才能夠依照相關的通報應變辦法進行通報。

 

資通安全事件分級一覽表

公務以及特定非公務機關發生資通安全事件,依照情節輕重分成第一級到第四級,如果是非核心業務資訊遭到洩漏,通常列為最輕微的第一級或第二級資安事件,這也是政府部門最常發生的資安事件類型;如果是核心業務資訊遭到外洩,輕微者列為第三級資安事件,嚴重者是第四級資安事件。去年政府還沒發生第四級資安事件。

資料來源:行政院資安處,2018年7月

 

 

公務機關資安事件通報應變流程

公務機關如果發生資安事件,必須要在1小時內通報上級監督機關以及主管機關,資安事件等級重大者,必須在36小內;非重大者,則在72小時內,完成損害控制與復原狀況

資料來源:行政院資安處,2018年7月

 

 

《資通安全管理法》演進歷程

 

 2015年5月21日 

資通安全管理法草案提出(由資通安全辦公室召開資通安全管理法草案專家座談會)

 

 2016年8月1日 

行政院資通安全處成立(取代資安辦,成為政院資安專責機構,首任處長為簡宏偉)

 

 2016年8月31日 

行政院資安處完成資安管理法草案初稿(9月將舉辦了6場法案座談會,並上網徵求全民意見)

 

 2017年4月27日 

行政院版的資通安全管理法草案通過(送請立法院審議)

 

 2017年11月6日 

立法院司法及法制委員會審查資通安全法草案(共有行政院、時代力量黨團、親民黨團、民進黨立委陳亭妃、余宛如、國民黨立委許毓仁等6個版本)

 

 2018年5月11日 

資通安全管理法完成立院三讀(六月中旬總統正式公布,正式施行日期由行政院另定)

 

 2018年6月6日 

總統府公布資通安全管理法

 

 2018年7月9日 

行政院預告《資通安全管理法施行細則草案》、《資通安全責任等級分級辦法草案》、《資通安全事件通報及應變辦法草案》、《特定非公務機關資通安全維護計畫實施情形稽核辦法草案》、《資通安全情資分享辦法草案》以及《公務機關所屬人員資通安全事項獎懲辦法草案》等6個子法草案內容

 

 2018年8月~9月 

舉辦多場座談會

 

 2018年9月6日 

資安法6個子法草案預告期滿,文字條文修正後,送立法院備查

 

 2018年10月 

資安責任等級主管機關備查

 

 2019年1月1日 

暫定資安法管理正式施行

 

資料來源:行政院資安處,iTh­ome整理,2018年7月

 

 相關報導  資安法六大子法草案出爐:翻新責任分級架構,全套法遵執行要求曝光

 

 相關報導  資安法立院三讀通過


Advertisement

更多 iThome相關內容