在資安法6大子法中,行政院資安處處長簡宏偉認為,最重要的子法,除了施行細則之外,就是「資通安全責任等級分級辦法草案」,因為,機關的資安責任等級一旦分錯,對於防護的強度就立即減弱,就可能對機關組織,帶來立即性的資料外洩,或遭到針對性APT攻擊的威脅。(攝影/洪政偉)

資安法6大子法當中,除了有施行細則補足資安法本身規範或說明不足之處外,最重要的子法應該就是「資通安全責任等級分級辦法」,分成A、B、C、D、E總共5個等級,依照業務機密程度以及牽涉民眾範圍而制定相關的標準。這也是面對資安事件時,「事前」應該完成的任務目標之一。

資安責任分成A級到E級總共5級,首度列出不納管單位

行政院資安處指出,像是健保署、財政資訊中心或者是內政部等這幾個單位或部會,業務與資訊系統牽涉全國民眾,重要性勢必得提升,所以直接列為A級機關。但是,目前所有的機關分級,還是需要進行後續的評估以及公告程序,這三個例子則是目前,少數已經可以很明確確定業務與資訊系統重要性的單位。

行政院資安處處長簡宏偉也說,簡單的概念來看A、B、C、D、E級機關,事涉全國性的業務或系統,大致可以列為A級機關;如果是跨縣市的區域性業務或系統,則可以列為B級機關;若是單一縣市提供的業務或系統,可以列為C級機關;如果是有提供資訊相關業務或服務,但相關的系統都由上級或是主管、監管機關代為管理的話,就是D級機關。

他強調,現在政府也針對各級機關有做業務重要性的分級,但目前只有列為A、B、C、D等四級,不過,在針對資安責任等級的分級時,其實會發現,還是有一些單位並沒有提供相關的資訊服務,相關的資訊系統也都委由上級或主管、監管機關代勞的情況下,就不需要一定要求這樣的業務單位,承擔所謂的資通安全責任,便首度規範了一個E級機關,就是不納管「不具備任何資安責任」的單位,納入資安責任等級的分級制度中。

但簡宏偉指出,未來這些機關資通安全責任等級,除了會由機關單位自行評估重要性外,也會加入主管機關、上級機關或監督機關的看法,最後進行統一公告。這次制定責任等級的過程中,因為等級的規定不同於現有的規定,如何制定一個有彈性又符合現況需求的責任等級分級標準,對於主管機關行政院而言,的確是一大考驗。

資安責任等級分5級,A~C級都得2年內取得臺版CNS 27001認證

在資安法6大子法中,簡宏偉認為,最重要的子法,除了資安法施行細則之外,就是「資通安全責任等級分級辦法草案」最重要,因為,機關的資安責任等級一旦分錯,對於防護的強度就立即減弱,就可能對機關組織,帶來立即性的資料外洩,或遭到針對性APT攻擊的威脅。

若從資安責任等級中所規定的應辦事項來看,不論是公務機關或者是特定非公務機關,A級到C級機關的資安管理,都必須同時著重管理面與技術面,差別會因為等級高低的不同,而有管理強度的不同。

以A級公務機關應辦事項為例,條文中要求,當機關初次核定或等級變更後的一年內,必須依照機密性、完整性、可用性以及法律遵循性等四個構面,針對防護等級高、中、低的差別,確保相關資通系統防護需求的分級原則;而在定義相關的防護需求等級時,都以等級需求最高者為主要的等級標準。

從條文中也規定,不論是A級、B級和C級的公務或是特定非公務機關,都必須要在2年內取得臺版CNS 27001或是ISO 27001的資安認證;同時,針對A級~C級公務機關,也強制要求配置4人、2人和1人的資安專職人員。

簡宏偉表示,政府可以強制機關投入某類資源,例如人力,放在資安領域上,但政府無法強迫非公務機關也必須如法炮製,仍須尊重非公務機關對於營運的自主性。

在技術面上,包括防毒軟體、網路防火牆以及郵件過濾機制等,是從A級到D級機關,共有的資安防護設備,保持定期的軟硬體更新則是落實資安防護的基本功。另外,資安教育訓練則是不管哪一個等級都必須具備的基本防護概念,A級~C級機關有專職的資安人員,每年都必須接受12小時以上的資安專業訓練,但若是一般的使用者或是主管,則必須要接受3小時的資安教育訓練。

透過稽核方式,強化對特定非公務機關監督管理之責

不論是公務機關或是特定非公務機關,「事前」都必須根據資安法施行細則來制定資安維護計畫,但後續相關的適法機關,就必須針對這份資安維護計畫,提出各自的施行狀況;並由主管機關、上級機關、監督機關或者是中央目的事業主管機關,針對該份計畫的執行程度,進行後續的稽核。簡宏偉認為,「事中」稽核最重要的目的,除了要確認整體計畫執行的符合程度,也可以提出「事後」相關的改善計畫。

他表示,公務機關只需要透過行政命令的方式,就可以進行相關稽核的要求與規範,「依法行政」是公務機關的本質;但對於特定非公務機關而言,為了不侵犯其相關的權力,一旦有任何的要求時,都必須制定相對應的法令才行。

為了強化主管機關對於特定非公務機關的監督與管理,也希望要協助這些特定非公務機關,可以及時發現資安維護計畫執行時的缺失,並適時進行修正。因此,行政院便透過制定《特定非公務機關資通安全維護計畫實施情形稽核辦法草案》,以現場實地查核的方式,稽核上述單位其資通安全維護計畫實施情況;一旦有發現缺失,受稽核機關也應該在指定時間內提出事後的改善報告;主管機關也可以要求受稽核機關在必要時,於指定時間內進行說明或調整。

資安情資分享應該避免營業秘密等資料外洩

事前針對《資通安全事件通報級應變辦法草案》制定通報應變機制後,一旦事中爆發任何資安事件,就可以依照規範進行通報。

不過,這些資安事件所產生的情資,如果可以善加利用,不論是對上級機關或者是平行或是下級機關,甚至是產業或是其他國際合作等,都可能帶來加乘的效果。

曾經有資安專家邱銘彰(網路暱稱鳥人)表示,臺灣長期作為許多網軍練兵的場所,遭受到的各種惡意程式攻擊,反而成為臺灣最珍貴的天然資源,都有助於臺灣資安產業未來進一步的發展。

因此,簡宏偉認為,不論是各種惡意程式或是漏洞通報等資訊,都是寶貴的資安情資,可以針對不同機關之間甚至是國際間進行情資交換合作,不僅有助於資安事件的現前預防和事中處理,甚至對於事後鑑識都可以發揮重要的關鍵效益。

但他也強調,所有的資安情資分享的過程中,都必須避免各種營業秘密、個資或隱私資料的外洩事件,也必須確保所分享的資安情資,不會在未經授權的前提下,遭到不當存取、外洩或竄改。

資安治理逐步向上集中,以資安成熟度作為評量標準

資安法這6個子法,補足資安法母法更多的細節,提供更多明確可以執行的參考步驟與方法。但是,要完全參照這6個資安法子法的規範,逐步完成所有應該準備的文件和程序,也並不是一件容易的事情。

簡宏偉認為,所有公務與特定非公務機關面對時間規畫的待辦任務,可以從IT盤點、制定資通安全維護計畫、制定通報級應變辦法以及提報機關資安責任等級著手。

尤其是,資安治理的目標就是希望可以逐步將資安業務做到向上集中,簡宏偉指出,透過分級分類的概念,讓沒有人沒有錢的單位,可以慢慢將資訊、資安業務向上一級單位集中。

若從資安責任等級的公務和非公務機關的應辦事項來看,A級、B級和C級機關,資安管理都必須兼顧管理面、技術面以及相關的教育訓練,但D級機關,只需要做到技術面與認知與訓練的面向即可。

至於機關資安責任等級分級問題,簡宏偉建議,目前要做到IT盤點外,也必須定義核心業務,再來找出核心系統,以及進行營運衝擊分析(BIA)以及風險評鑑(RA),定義可以接受的風險後,就可以訂出機關的資安責任等級。

目前中央部會加上地方政府以及5院加上總統府,將近有70個機關單位,一般而言,上級加上中央目的事業主管機關通常會有表較多的資安資源,包括資安專責人力等。但以目前子法的規範,A級機關會有4個資安專職人力,B級機關會有2名資安專職人力,C級機關會有1個資安專責人力;至於特定非公務機關,因為要尊重公司營運的權力,並不強制規範是否要設置多少名資安人力。

「資安責任等級的訂定是最重要的,」簡宏偉說,未來相關稽核的目的不一樣,以前是偏重政策宣導性,以及管理面與技術;但未來,偏重資安治理,資安維護計畫強調的是完整性,基礎的運作是否符合維護計畫的規範,有法規遵循的概念在內,至少要做到依法行政、依法處理;另外也要針對資安維護計畫,要提出改善報告和相關的矯正措施。

在相關的資安人才培育上,可以參考「資安產業發展行動計畫」,但簡宏偉認為,臺灣資安發展現況,更適合用「資安成熟度」作為衡量的標準。其他的,對於資安產業的發展,他認為應該要看資安產業帶來的擴散效益,包括政府部門和特定非公務機關的關鍵基礎設施服務提供者等。

在2016年創造的資安產業產值大約3百多億元,如何產生「外溢效應」,從政府部門本身,外溢到關鍵基礎設施,再外溢到140萬家中小企業、2千家電商等,例如,可以透過產業一起進行團購資安服務等,都是可以參考的手段。

 

特定非公務機關資安事件通報應變流程

特定非公務機關一旦爆發資安事件,處理步驟和公務機關一樣,必須要1小時內,依照主管機關指定的方式,進行資安事件通報;如果是第一級或是第二級資安事件,主管機關在接獲通報8小時內進行資安事件等級的審核;若是第三級或是第四級資安事件,則必須在接獲通報2小時內完成。

資料來源:行政院資安處,2018年7月

 

資安情資分享方式一覽表

包括惡意程式或是系統漏洞,都是重要的資安情資,有效的情資分享可以做到事前預防,對於事中的事件處理,以及事後資安鑑識也都有幫助。但在情資分享時需注意,設計營業秘密或個資、隱私議題,原則不得分享;但如果法令有規定,或經當事人同意、去識別化後,例外就可以分享。

資料來源:行政院資安處,2018年7月

 

 相關報導  資安法六大子法草案出爐:翻新責任分級架構,全套法遵執行要求曝光

 

 相關報導  資安法立院三讀通過


Advertisement

更多 iThome相關內容