自從資通安全管理法在去年5月11日,經立法院三讀通過後,這類議題也越來越受到民意機關立法委員的關注,加上近期國際間對華為等中製產品不信任的局勢,在本月14日,立法委員許毓仁在立法院群賢樓舉辦公聽會,邀集行政部門、民間業者及學者專家共同參與,不僅呼籲公私部門提高資安防護意識,並認為要重視資安預算的編列,才不會讓受資通安全管理法納管的單位,會因為沒有預算與人力而效果大失,並期許行政院資通安全處在政策的推行上,應讓公務機關與民間企業,都能夠更重視投入資安這件事。

基本上,這次公聽會討論的範疇,包含資通安全管理法上後,如何落實政府各部門的資安意識,促進國產資通安全產業生態系,以及整體資安全防護的對策及展望。而會中,除了行政院資安處分享了資通安全管理法的現況,一些企業代表也提供了不同面向的意見,成為民意代表參考依據。

舉例來說,達文西科技法律事務所長葉奇鑫指出,隨著資通安全管理法已經上路,最大的意義就是,以前資安找不到主管機關,現在將有明確的目標。不過,他也提醒,首先預算才是最實際的重點,儘管他能理解目前法規不願意在各個法案明訂具體的預算編列比例,但容易發生的問題就是,一旦沒有新的預算項目,甚至近年資訊預算是以每年10%在刪除,憂心資安管理法恐難以推動。他並以過去經驗為例,最後各部會可能就是把以前的方案跟計畫,與民間自己推動的東西,變成自己的成果,其實根本沒有新作為。

另一方面,對於關鍵基礎設施提供者的定義,是否要重新盤點,以及資通安全獎勵辦法、稽核程度的拿捏,他也認為是後續需要注意的面向。其中關鍵基礎設施提供者的部分,行政院資安處副處長徐嘉臨也回應,要更進一步管控到其他私部門,將必須凝結更多共識與討論。

此外,以台大電機工程學系教授身分出席的蔡志宏也表示,關於資安管理法的推動,在公務機關以外,對於金融以外的產業,像是製造業,他認為,背後的溝通上還沒有完全到位。需要更多簡明易懂的案例,讓企業能夠認識到資安的威脅。

對於通訊軟體安全與華為手機的安全問題,此次會議也有討論。國內開發即時通訊軟體Juiker的源思科技,他們的營運業務處副總經理周慧娟指出,像是國內特勤單位有一半的人會使用很大一支的加密電話,但也有一半的人使用消費級即時通訊LINE,如果是在Wi-Fi連線下使用LINE溝通公務,其實他們公司內的一般工程師,都可以攔截對話。此外,他們與公部門的接洽經驗中,第一個會被問的就是,Line不用錢,為何Juiker卻要收費?她認為,如果整個政府單位都認為通訊軟體應該是免費,資安意識就有重新被教育的必要性,因為在這個世界上什麼是沒有成本的。

至於手機軟體資安檢驗方面,現在也有一些議論,對此,國家通訊傳播委員會基礎設施事務處簡任技正吳銘仁表示,關於全球的手機軟體資安檢測,目前還沒有一個國家是強制執行,有提出檢測的國家也不多,臺灣也是採廠商自主送測。他並強調,手機資安檢測的項目只是一個基準底線,並不代表未來沒有資安風險。此外,像是新下載更新的App,也不是在出廠檢測的範圍。

最後,許毓仁表示,將推動一個跨黨派的資安科技連線,在立法院透過諮詢、修法,跟行政部門的督促與合作,來推動公私部門在資訊安全方面的落實與發展。同時,也請行政院資安處提供各部會框列的預算比,將會在近期立法院總質詢時,針對資安預算比例,對行政院長蘇貞昌提出建言。

綜觀資安領域的議題,可討論層面廣大,不論是技術面從軟體、硬體到元件,從核心設備、邊界到各式終端,還要考量法規、人才等,如何聚焦與規畫也考驗著國內政府,而經費問題往往也是立法委員站在監督立場會關注的一環。不論如何,隨著資通安全管理法已經上路,後續執行、應變措施、稽核等,都將成為各界關注焦點,也期許行政院資安處的推行,能讓投入資安這件事更能被公務機關與民間企業所重視。

 

繼續閱讀:臺灣資通安全管理法上路一個月,行政院資安處公布實施現況

 


Advertisement

更多 iThome相關內容