臺灣因應武漢肺炎的爆發,根據2019年6月19日修正通過的《傳染病防治法》第17條規定,於1月20日正式成立「疫情指揮中心」,由衛福部部長陳時中擔任指揮官,透過中央指揮各相關部會防控疫情,比起武漢於1月23日宣布封城措施,臺灣已更早反應。

成立「疫情指揮中心」之際,也由行政院副院長陳其邁下達防疫指示,包括:落實國際機場、小三通港埠檢疫措施;加強民眾衛教宣導;確保防疫物資整備;醫療院所管制預備規畫及演練。

《傳染病防治法》是為了杜絕傳染病發生、傳染及蔓延而制定的法律,包括各種法定傳染病的分級,各級疫情指揮中心的開設和結束,以及因應疫情,統籌各種資源、設備並整合相關人員、國軍支援等,也在法規架構、醫療資材徵收或加強生產、邊境管制、研發快篩試劑、疫苗、資訊澄清、政府宣導、駐外使領館防疫,甚至是罰則,都依該法來賦予疫情指揮中心統一指揮的職掌。

也因為《傳染病防治法》授權,才有一級、二級、三級指揮中心開設,也明定中央、地方政府以及防疫所需相關組織的角色職掌,可作為遵循參考方向。

仿效《傳染病防治法》授權精神,制定企業資安防駭準則

因為防疫有《傳染病防治法》作為各種防疫措施的法源基礎,也奠定疫情指揮中心各種防疫作為的合理性,而同樣的作為,反映到政府和企業資安防駭上,則可以有不同的展現。

例如,作為政府和關鍵基礎設施服務提供者的相關業者,可以參考於2019年1月1日正式施行的《資通安全管理法》,作為推動國家資通安全政策,加速建構國家資通安全環境,以保障國家安全,維護社會公共利益的參考基準。

如果將防疫作為類推到企業資安防駭,國際電腦稽核協會(ISACA)資訊風險治理諮詢小組委員楊博裕表指出,企業可以仿效《傳染病防治法》,在內部制定「企業資安政策」,或者是「資訊與網絡安全事件應變手冊」。

此外,為了增加組織資訊與網絡安全治理韌性(恢復力),楊博裕認為,企業組織也應該超前部署,引進威脅導向(Threat Based)資訊與網絡安全管理機制,透過風險評鑑,找出對組織威脅最大的資訊與網絡威脅情境;再針對這些情境制訂應變手冊/錦囊妙計,以確保當事件發生時,相關人員可按表操課,完成停損與復原。

KPMG顧問服務部執行副總經理謝昀澤強調,企業平常要準備資安政策、程序與SOP等制度,也可針對企業各項資訊防治工作,進行系統性的規畫與執行,特別是緊急事故發生時可參考。

謝昀澤認為,企業也可以參考《傳染病防治法》的授權精神,作為資安防駭的參考準則。舉例而言,像是日常的風險評鑑與處理計畫,我們可以參考「預防接種」、「傳染病預防」的內容;若是資安監控中心,則參照「流行疫情監視和通報」;如果是數位鑑識程序,則可以參考「疫情調查」和「檢驗」。

針對資安演練的規畫,可以對照「疫情演習」、「分級動員」、「訓練」;對於制定相關營運持續計畫,則與防疫藥品、器材、防護裝備之儲備的作法,有異曲同工之妙;至於制定緊急應變計畫,作法則類似疫情爆發處理,以及居家隔離民眾的步驟等。

KPMG顧問服務部執行副總經理謝昀澤表示,《傳染病防治法》為政府防疫作為提供授權基礎,企業可仿效授權精神,制定企業資安政策及資安緊急應變計畫為資安防護奠基。 (攝影/洪政偉)

落實法遵之餘,更須進行演練

臺灣安永諮詢服務總經理張騰龍表示,政府有法律授權的時候,對於緊急動員有幫助,例如,當政府遇到重大的資安攻擊時,不管是組織所需要的軟體、硬體、離線作業需要新的設備,甚至是,盤點是否具有足夠的生產能力時,如果有法律授權相關防駭規定,就可以動用國家資源力量對抗資安攻擊。

不管是公務機關,或者是受《資通安全管理法》規範的特定非公務機關,依法行政是必然的作為,不過,資誠智能風險管理諮詢公司執行董事張晉瑞表示,對企業而言,更大的挑戰在於,企業資安政策如何運作授權?相關的管理階控,以及二階、三階的資安管理細則,該如何制定並落實?

在此同時,當我們已制定資安事件緊急應變計畫,一遇到突發狀況,可緊急調整計畫內容,同時也必須定期演練,才能驗證相關的計畫內容是否可落地。

舉例而言,疫情期間有許多企業為了避免群聚感染,開始推動員工在家上班(WFH),但張晉瑞說,這是否也帶來新的資安風險呢?員工是否已妥善設定筆電,以及應用程式的安全呢?當使用家用電腦遠端登入企業系統時,是否已經落實控管包括VPN,以及RDP帳號的風險呢?而且,許多人使用家用電腦的上網行為不佳,可能會不小心點選惡意程式、具有資安威脅的網站,因此,不管是施行遠距IT或是家用IT,此時是否需要安裝代理程式控管呢?

張晉瑞表示,從政策制定到實際演練,就是一種法規遵循的過程,如果無法合規,就應該要有後續的矯正措施。

從國家制定的法律到企業制定的資安政策,或是資安緊急應變計畫等,楊博裕表示,每個人都必須知道,為什麼要「重視資安」這件事情。他認為,在企業資安政策,以及相關資安緊急應變計畫中的角色與職掌,只要能夠清楚定義,隨後,公司人員就是配合並落實公司的資安政策與標準,「畢竟,資安不是IT或資安部門的事情,而是全公司、每個人的事情。」他說。

 更多相關報導  從防疫學防駭


Advertisement

更多 iThome相關內容