圖片來源: 

周峻佑攝

今年初資安法正式上路,首波適用對象為政府單位與公營事業,接下來,即將把關鍵基礎設施(CI)的提供者列入管理,因此,各界都相當關切,那些業者是資安法下一波規範對象。在8月28日舉行的數位政府高峰會上,行政院資通安全處處長簡宏偉談到,他們在立法過程中,如何定義關鍵基礎設施。

簡宏偉說,無論法規採取寬鬆或是嚴格的指導原則,實施資安法的國家,都會把關鍵基礎設施列為重要的保護標的,其中,美國和日本定義出多達16種和13種類型的對象,加以納入管理。簡宏偉說,從廣義的定義而言,凡是遭受破壞後,會動搖民心,或是損害政府聲譽,都算關鍵基礎設施。

他也舉出自由女神像為例,美國列為關鍵基礎設施的理由,就是這個建物象徵該國精神,毀壞會影響人民對政府的信心。而這是我們在過去,探討關鍵基礎設施的資訊安全時,鮮少會被提到的設施類型。

資安法第一波列管對象,規範8種與民生較為相關的CI,包含:能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、政府機關,以及科技與工業園區等。簡宏偉指出,目前並未涵蓋前述的文化資產, 以及糧食生產單位,而在需列管的金融單位定義中,目前沒有包括電子商務網站。

定義需考慮相依性與國情

如何決定資安法關鍵基礎設施的列管範圍?首先,簡宏偉提到,在識別這些設施的程序之前,他們先歸納出主要和次領域,再找出領域之中的服務,最終才會選出關鍵基礎設施,以及其中存在的關鍵資訊基礎設施(Critical Information Infrastructure,CII),並進行列管。國發會在定義的過程裡,不只是衡量我國的國情,以及其他國家的作法,也一併將相同領域的不同產業,以及跨領域之間可能存在的相依性,納入認定關鍵基礎設施的評估項目。

所謂的相依性,指的是會連帶影響其他設施運作的資源。例如:水、電、瓦斯,以及網路等,一旦資源供應中斷時,就會導致需要這些資源才能運作的設施,被迫停擺。

而在重要性的評估上,簡宏偉指出,政府會依據功能的重要性,以及失效會帶來的直接影響,還有對於波及民心士氣的程度,進行評量,來決定需要列管的CI類型。

簡宏偉列出了9大國家重要功能的CI類型,包含:與政府機關運作相關、重要資通訊系統、維生與運輸機能、金融、疫病、治安與救災、國家重要象徵與資產、重要產業,以及國防等項目。不過,在目前資安法規定的領域之中,並未包含到「國家重要象徵」。

另一個列管評估因素是設施失效的影響,除了根據能夠統計的設施價值、影響人數,以及經濟損失,還有其他無形的部分,像是國際形象受損、政府的聲譽與民眾信心衝擊,也都在評估的範圍。

熱門新聞

Advertisement