行政院資安處處長簡宏偉表示,行政院預計在年底前,於北中南東等地區舉辦9場資安法修法說明會,預計在明年第一季,將資安法修法草案送交立法院進行三讀。

《資通安全管理法》(簡稱資安法)自從2019年一月一日正式施行後,也經歷將近兩年的運作,行政院資通安全處處長簡宏偉表示,為了可以讓《資安法》更為落實,預計到年底前,於臺灣的北、中、南、東等地,舉辦9場「資安法修法說明會」,將邀請政府機關、學界和業界人士共同參與、交換意見,預計在2021年第一季,將《資安法》的修正草案送交立法院審查,完成三讀程序。

簡宏偉表示,預計年底前通過「第六期資通安全發展方案」中,其中一個最重要的精神就是要落實《資安法》 ;而《資安法》的落實就是得要把過去在執行面上有扞挌之處,以及要配合其他法條修正必須同步修法的法規,先進行法條的修正,務使法律的適用上,不會出現窒礙難行的窘境。

修法明定,軍事和情報機關需另訂《資安維護計畫》送院備查

簡宏偉表示,為了這次《資安法》的修法,特定邀請各界專家舉辦9場修法說明會,對此,行政院已經先釋出包括母法《資安法》,以及六個子法:《資安法施行細則》、《資通安全責任等級分級辦法》、《資通安全事件通報及應變辦法》、《資通安全情資分享辦法》、《公務機關所屬人員資通安全事項獎懲辦法》以及《特定非公務機關資通安全維護計畫實施情形稽核辦法》的修正草案內容,希望可以作為修法說明會時的參考,也可以廣納各界建議。

他也說,《資安法》母法要調整修正,主要是配合《財團法人法》修正通過,該法通過時,還沒有《財團法人法》,因此,未來在法條修正時,就必須配合其他法條做必要的修正。

此外,這次的修法中,也正式明文律定,要求原先被《資安法》排除的機關,即軍事機關及情報機關,必須要另外制定《資通安全維護計畫》送主管機關行政院備查。

原先的《資安法》對於委外合作的業者,只明文要求「不得洩露在執行或辦理相關事務過程中,所獲悉關鍵基礎設施提供者的秘密。」但是,簡宏偉說,除非有正當的理由,所有的委外單位都有保密的義務,保密的範圍不應該只有侷限在關鍵基礎設施提供者。

修訂資通安全責任等級ABCD級公務及非公務機關的應辦事項

《資安法》預計要修法,相關的六個子法也必須同步修正。簡宏偉指出,除了配合母法和其他法條所做的內容和文字修正外,這次子法修法影響程度最大的其實就是《資通安全責任等級分級辦法》。

他說:「最重要的修法內容就是因應網路威脅增加以及技術發展提升,修正了資通安全責任等級A級、B級和C級機關的應辦事項。」《資安法》規範的對象除了公務機關外,非公務機關主要就是指關鍵基礎設施(CI)提供者和行政法人,而關鍵基礎設施提供者往往涉及民眾生活能否正常運作,因此,成為《資安法》重點規範的對象之一。

《資通安全責任等級分級辦法》明定A級~E級資安責任等級,在希望資安可以做到向上集中的情況下,資安責任等級E級機關是屬於「沒有任何資安責任的單位」,相關的資安責任都由上級機關負責。

但針在修正條文中,對A級和B級的公務機關,則要求應該都要在被核定、等級變更或者經主管機關發布的一年內,完成資安弱點通報機制導入作業;二年內完成端點偵測機制導入作業;C級公務機關則必須要二年內完成資安弱點通報機制導入;至於非公務機關中,A級和B級都必須在核定資安責任等級的一年內,完成資安弱點通報機制;C級機關則必須在二年內完成資安弱點通報機制。

而資安責任等級D級機關,基本上,都是屬於自行辦理資通業務,且沒有維運自行或委外開發資通系統的單位;在此次修法中明定,只要具備郵件伺服器的機關都會提升為C級機關,不論是公務或非公務的C級機關,都必須在二年內完成資安弱點通報機制。

修訂「資通系統防護基準」,配合實務需求強化防護措施

《資通安全責任等級分級辦法》規定各級機關各種資安實務面向的作為,而有10個附表,其中,此次修法也針對「資通系統防護基準」做了相關的修正建議和文字調整,修法的內容也都配合實務需求而作了許多明文修訂。

在「存取控制構面」中,分別有帳號管理、最小權限、遠端存取等三種措施,其中,帳號管理措施則修法明定,為了避免機關未明確定義相關時限,造成適用模糊情形,機關應明確訂定使用期限之條件限制,如帳號類型與功能限制、操作時段限制、來源位址、連線數量及存取資源等。

在遠端存取措施部分,防護等級列為中級和高級的系統,對於遠端存取的來源機關要預先定義及管理存取控制點,也應該包括對於防護等級普級系統的所有控制措施,包括:一、對每一種允許遠端存取類型,均應先取得授權,建立使用限制、組態需求、連線需求及文件化;二、使用者權限檢查作業應於伺服器端完成;三、應監控遠端存取機關內部網段或資通系統後臺連線;四、應採用加密機制。

在「稽核與可歸責性構面」中,則有稽核事件、稽核記錄內容、稽核儲存容量、稽核處理失效之回應、時戳及校時和稽核資訊保護等六大措施,在稽核事件措施中,除了針對防護等級中級和高級系統,修法要求要做到定期審查機關所保留的稽核紀錄外,也要求訂定稽核時間週期及紀錄留存政策,並保留稽核紀錄至少六個月。

在稽核記錄措施中,則修法明定:資通系統產生的稽核紀錄,應依資通安全政策、法規等要求納入其他相關資訊;在時戳及校時措施中,修法明定系統內部時鐘應定期與基準時間源進行同步,資通系統應使用系統內部時鐘產生稽核紀錄所需時戳,並可以對應到世界協調時間(UTC)或格林威治標準時間(GMT)。

在營運持續計畫構面中,有系統備份和系統備援等兩大措施,前者則修法明定,應在與運作系統「不同地點」的獨立設施或防火櫃中,儲存重要資通系統軟體與其他安全相關資訊備份;後者除了原本要求要訂定資通系統從中斷後至重新恢復服務的可容忍時間要求外,更修法在原服務中斷時,於可容忍時間內,由備援設備或其他方式取代並提供服務。

在「識別與鑑別構面」中,有身分驗證管理、鑑別資訊回饋和加密模組鑑別等三大措施。其中,在身分驗證管理措施中,修法明定使用密碼進行驗證時,應強制規定最低密碼複雜度,強制規定密碼最短及最長的使用效期限制;在進行密碼變更時,則修法強制規定,不可以使用前三次使用過的密碼。

 


Advertisement

更多 iThome相關內容