近年來,隨著各種網路威脅大增,加上有許多駭客也積極鎖定一些攸關民生的關鍵基礎設施發動網路攻擊,臺灣政府為了落實公務機關及特定非公務機關的資安防護,於2018年6月6日制定公布《資安法》,並於2019年元旦實施。
只不過,自從《資安法》施行迄今,中間也經歷了政府資安相關組織的調整,以及社會上,對於資安重視程度的逐漸提升,讓《資安法》在過去五年多的施行上,必須重新面對一些需要調整的、窒礙難行或需要查缺補漏的《資安法》條文。
一般而言,由行政機關進行修法提案是最常見修法方式,另外一種常見的修法方式就是由立法委員進行連署提案,或是由立法院黨團提案,法案就可以送交審議。
至於其他比較少見的修法方式,就是依照《公民投票法》的規定由公民發起提案,若是針對全新的立法或政策進行提案,就是法案的「創制」;若是針對既有法案與政策進行變更或廢止,就是法案的「複決」。
數位發展部資安署於今年7月4日,在行政院院會同意下,推出《資安法》修正條文,並送交立法院程序委員會審查提案程序是否完備,以及排定審議順序和議程,才可以進入接下來的一讀會。
目前雖然是立法院傳統意義上的預算會期,但《資安法》先前已經通過程序委員會的審查,進行法律案標題進行表決,這就是立法院的一讀程序。一讀會如果有8位立委連署或附議並表決通過,就可以退回程序委員會重來;另外,也可以將法案交由立法院各個委員會進入委員會審查階段,這也是各種修正法案提案最重要的階段,在這個委員會審查階段,可以邀請專家、學者進行聽證或是說明。
委員會審查的過程中,委員會成員也可以提出修正案進行討論和表決;另外,現在為了加速議事效率,有些法案也會進入黨團協商或朝野協商階段,如果法案順利通過,則會進入立法院院會進行二讀;如果議事衝突不斷,也可以經20位以上的立委連署或附議,不再經由委員會審查或討論,直接進行逕付二讀的表決。
接下來進入二讀會階段,主要是進行相關條文的逐條討論和表決,如果同時有立法委員對修法的法案有不同意見、提出修正案,也可以進行討論和表決,當表決通過後,該審查條文就會進入三讀會。
三讀會是確認法案最終定稿的階段,法案不再逐條討論,而是只會針對文字進行修正,並確認內容是否有與憲法或其他法律有所牴觸,如果法案通過三讀會,行政院沒有覺得該法案有窒礙難行之處,經總統核可而送回立法院請立委覆議的話,通過三讀會的法案則會送交總統,總統會在十日內進行公布,並依照法案規定日期生效。
關於這次《資安法》的修法,數位發展部資通安全署副署長鄭欣明指出,核心目標就是加強納管機關的資安管理,同時要提升資安專業人力的素質,當面對未來可能的資安風險時,具備更完善的應對能力;當然,他說,此次藉由修法的同時,將相關機關應該承擔的資安業務範圍明確化,同時提升資安事件的通報與應變機制,並強化對於特定非公務機關的監管。
從政策面與法律面,完善資通安全體系架構
「政府資安體系的權責架構,就像是一個金字塔,」鄭欣明表示,金字塔最上層是決策層,就是負責決定國家整體資安策略的行政院;接著就是中層的規畫層,這也是《資安法》的主管機關:數位發展部,負責規畫並推動國家資安政策等相關事宜。
金字塔最底層的架構則略顯複雜。鄭欣明表示,這層有負責國家資安業務的規畫與具體執行的資通安全署,這也是數位發展部所屬的三級機關,負責具體規劃與執行國家資安業務。
另外,《資安法》規範的對象則包括公務機關,以及特定非公務機關。他表示,對於公務機關,資安署會協助監管這些公務機關所屬、所監督、所轄和所管機關的資安全管理;另外,也會協助中央目的事業主管機關,落實其轄下所納管的特定非公務機關所應該遵守的《資安法》的法遵義務。而這些特定非公務機關,包括關鍵基礎設施、公營事業和特定財團法人組織等。
為了落實國家資安業務規畫與執行,便將「行政院國家資通安全會報」正式入法,負責擔任各部會的溝通協調窗口,並由《資安法》主管機關數位發展部負責相關的幕僚作業。鄭欣明表示,國家資安業務的推動分為兩個面向:政策面和法律面。
政策面主要是制定國家資通安全發展方案,目前已經規畫到第六期國家資通安全發展方案,重點在於資安人才培訓、科技開發、民間資源防護等。資安署和各部會合作,分配相關經費來推動這些計畫,像教育部的資安人才培訓就是一個例子。
法律面則是以制定《資安法》和其六個相關子法:《資通安全管理法施行細則》、《公務機關所屬人員資通安全事項獎懲辦法》、《資通安全責任等級分級辦法》、《資通安全事件通報及應變辦法》、《特定非公務機關資通安全維護計畫實施情形稽核辦法》以及《資通安全情資分享辦法》,作為公務機關以及特定非公務機關法遵的參考依據。
鄭欣明表示,政府制定了《資通安全管理法》,並通過執法規範各機關的資安工作,而《資安法》主要分成兩個面向:一是資通安全維護計畫,每個機關需要制定並報告其執行情況;二是資安事件應變機制,要求機關設立通報機制,並在事件發生時能迅速處理和改善。
他指出,此次修法也強化國家資通安全會報的功能,並且明定所有公務機關的協力義務;資通安全會報主要分成由數位發展部負責的「網際防護體系」,以及由內政部、法務部負責的網際犯罪偵防體系。其中,各個政府機關、中央及地方政府之間,則應該全力配合推動國家資通安全措施;而相關政府部門應該執行相關的決議事項,並由主管機關定期追蹤管考,並辦理績效評核。
將禁用危害國家資通安全產品正式入法
《資安法》修正案在行政院通過後,已經進入立法院進行審議。這次修正案的主要目標是進一步加強公務機關和特定非公務機關的資安管理。
縱觀《資安法》修正草案,共三十五條,共分成總則、公務機關資通安全管理、特定非公務機關資通安全管理、罰則和附則。
鄭欣明指出,這次修法是滾動調整資安法制,落實智慧國家願景。為了做到強化納管機關資安管理,以降低機關資安方險為目標,增修危害國家資通安全產品條文,強化外部監管措施,以及提升重大資安事件調查權限;在精進資安人力策略上,就是以提升人員專業知能為目標,希望可以做到專職人員配置、職能訓練、適任性查核以及調度支援等面向。
他表示,這次修法也新增一些原本函式或是行政命令的條文,引發最多人關注的就是危害國家資通安全產品相關規範,依照《資安法》規範對象不同,依照公務機關以及特定非公務機關而有不同規範要求。
他進一步解釋,禁用危害國家資通安全產品的限制範圍,包含公務機關本身,公務人員配發的公務用資通訊設備,以及提供公眾視聽或使用的傳播設備及網際網路接取服務,原則上都不得下載、安裝或使用,除非因為業務上的需要且沒有其他替代方案者,可以專案申請使用。
至於特定非公務機關本身,或者是提供公眾視聽或使用的傳播設備及網際網路接取服務,若有維持資通安全的必要時,原則上,可以由中央目的事業主管機關予以限制或禁止使用,同樣的,若有業務需求且無其他替代方案者,可以專案申請使用。
面對外界質疑為什麼不公開相關的禁用清單,鄭欣明解釋,因為清單一旦公開,就可能會引發貼牌的疑慮,或者是設法規避;另外有一些情況是公務機關或是特定非公務機關在採購當時,該產品並不在禁用產品的清單範圍內,後來因為某些原因,導致該產品的業者成為中資等情況,但他說,目前該條文的規範比較偏向「不得下載、安裝的使用,而不是去限制採購時,因為資訊不足造成採購人員無意中購買到禁用產品。」他說。
所以,以資安署的作法,則會將這些禁用清單設計成如同情資,定期更新,會且會把相關情資提供給公務機關、特定非公務機關,以及其中央目的事業主管機關,並由這些單位自己去決定是否要禁止或限制,這樣的話,讓大家比較不會有相關的疑慮,也提供例外的決策空間,讓危害資通安全產品的使用可以更有彈性。不過,他也同意,未來該如何推動危害國家資通安全產品的禁用與政策執行,資安署還需要花許多時間和政府機關同仁進行政策溝通和推動。
強化納管機關的稽核範圍及具有重大資安事件調查權
「強化對公務機關和特定非公務機關的分層監督和管理,是《資安法》修正條文中很重要的修法精神。」鄭欣明說道,對公務機關而言,就是要做到強化聯防體系,做到分層監督管理模式的調適;對特定非公務機關來說,則是強化對重大資安事件的調查權限。
包括總統府、國安會和五院(行政院、立法院、司法院、考試院和監察院),以及直轄市政府、縣(市)政府、地方議會、直轄市山地原住民區公所、直轄市山地原住民區民代表會、鄉(鎮、市)公所以及鄉(鎮、市)民代表會等單位,都是沒有上級機關的公務機關,依照原本的《資安法》規定,並沒有辦法進行任何的外部稽核機制。
一般而言,上級機關對下級機關的稽核,就是第二方稽核,但面對這些沒有上級機關的公務機關,其實是缺乏稽核機制,這時候,往往需要透過協力廠商來確保這些單位的安全性。但事實上,這些缺乏上級機關的單位,很難透過稽核方式去確認,相關公務機關是否有按照資通安全維護計畫去落實和執行。
鄭欣明表示,為了修正《資安法》現行對公務機關的規範限制,所以修法時,先是擴大稽核範圍,未來,資安署得稽核所有的納管機關;再者,為了強化地方聯防,包括直轄市、縣政府可以納管直轄市山地原住民區公所、直轄市山地原住民區民代表會、鄉(鎮、市)公所,以及鄉(鎮、市)民代表會等單位。
不過,公務機關有上千個,資安署一定是挑選重要的A級機關、B級機關做稽核,「稽核的重點不是雞蛋裡面挑骨頭,反而是透過資安健康檢查的概念,是否如何依照資通安全維護計畫執行和落實。」這也是他為什麼都會跟稽核委員強調,不要太在意枝微末節的紅字缺失,關鍵在於發現造成這些缺失、紅字的根因,找到核心問題所在。
他說,目前資安署也已經開始透過用AI的方式,統整相關的稽核資料,協助稽核員找到機關長久以來的核心問題,就像是醫師用AI先去彙整病例資料,發現可能的問題,在透過實際看診(實地稽核)的方式去發現問題、解決問題。「這也是資安署針對資安稽核持續精進的方式。」他說。
此外,此次修法也加重中央目的事業主管機關,對於特定非公務機關發生重大資安事件的調查權限。他進一步解釋,當特定非公務機關爆發重大資安事件時,其中央目的事業主管機關可以依據《資安法》修正條文的授權,對該起重大資安事件展開調查,能讓主管機關迅速掌握情況,並進行適當的調查與處理,避免事後出現無法了解事故原因的情況。
調查的對象,不僅可以調查特定非公務機關的當事人,也可以調查受託的資訊廠商,即該起重大資安事件的關係人。鄭欣明表示,《資安法》也明確規範調查程序,通知當事人和關係人到場陳述意見外,通知提出獨立第三方機構出具的鑑識或調查報告,也可以前往受調查者處所實施必要的檢查。當然,他強調,受任或受託調查者,都具有保密義務,不得洩漏獲悉的秘密。
針對資安人員進行適任性查核,高考三級設立資通安全類科
在這次《資安法》的修訂,不僅強化對公務機關和特定非公務機關的分層監督與管理,此次修法,也精進資安人力策略,要求這些機關設立資安長等專責人員外,也要確保負責資安業務的人員具備適任性,特別是對於政府機關中的重要部門;同時加強《資安法》罰則,對於違反資安規範的機關和個人,都設立更明確的處罰規定。
「適任性查核是這次修法的核心之一。」鄭欣明表示,負責資安業務的機關內人員,尤其是處理機敏資料的單位,都必須經過適任性查核。他解釋,這並不像特別查核那樣嚴格,而是供機關主管根據查核結果,決定是否聘用某人從事資安業務的程序;如果該人員未通過查核,仍可在不涉及機密的其他業務中工作,而並不影響其公職權利。
他指出,進行適任性查核的政策目的是,當需要處理特別機敏的資安業務時,確保承辦人員已通過適任性查核,從而提高機關內資安工作的效率與安全性。
為了提升公務機關的資安人力,資安人員任用考試榜示後,數發部資安署對錄取人員進行適任性查核;用人機關則對所屬資通安全專職人員進行適任性查核,如果拒絕查核或不符合查核規定,則不得辦法涉及國家機密、軍事機密及國防秘密的資通安全業務。
此外,在資安事件發生時,政府機關內部資源的有效調度至關重要。修法後,當公務機關爆發重大資安事件時,資安署可以調動各級資通安全人員進行支援。這項措施的目的,不僅是提高資源運用效率,也是為了強調資安專職人員的重要性,這樣的調度支援也視為在職訓練的一環。
目前,臺灣的資安人力資源不足,資安專職人員也未能形成統一的管理系統。因此,趁此次修法之際,也提出希望建立資安人員一條鞭的概念,由資安署或數位發展部負責統籌和配置資安人力。然而,目前臺灣尚無正式的資安職系,現行的資安人員大多屬於資訊處理職系,這使得資安一條鞭的落實存在挑戰。
為了解決資安人員不足的問題,今年首先在高考三級的國家考試設立「資通安全類科」,以增加政府機關資安人才的徵才管道。鄭欣明表示,這是從無到有的創舉,並已在今年順利舉行第一次考試。這項考科涵蓋資安概論、資安管理、資通安全法令與規範,以及資通安全防護技術,內容也與《資安法》密切相關。
鄭欣明表示,通過「資通安全類科」這樣的考科,希望能吸引並鼓勵機關非正式人員踴躍報考,並逐步推動成立資安職系。「當資安人力穩定後,我們才有可能實現資安一條鞭的全面實施。」他說。
數發部和資安署在職能發展方面,持續推動資安職能訓練、評量及核發資安職能證書,逐步建立資安人才資料庫,以協助用人機關檢視資安專業能力;用人機關則公布職缺,提出包括外補或內陞的徵才需求,對於辦理資安業務績效優良者給予獎勵,未依資安法規定辦理者,按照情節輕重,予以懲戒或懲處。
資安署副署長鄭欣明表示,今年在高考三級的國家考試中設立了「資通安全類科」考試,希望可以增加政府機關資安人才的徵才管道,未來才可能進一步推動成立資安職系。
資安長和資安專責人員的角色與培訓
不僅推動《資安法》的修法調整,資安署還著手推動資安人員的訓練和發展。這包括資安長、資訊主管、資安專職人員的訓練,以提升他們的專業技能和管理能力。
在政府機關中,資安長的角色至關重要,政府機關的資安長職位多由副首長擔任,這樣才能擁有足夠的權力進行資源協調與溝通,鄭欣明表示,雖然公務機關的資安長未必是資安技術專家,但透過資安署提供的培訓,期望資安長能具備足夠的知識,來作出正確的決策。
目前政府機關的資安長大約二百名,每年至少要有三小時以上的資安通識教育訓練,並且提供資安數位學習的線上課程外,每年還會舉辦資安長共識營,以及中央與地方政府資通安全長會議。
至於政府機關的資訊、資安主管大約五百名,每年至少需要三小時的資安通識時數,同樣有資安數位學習的線上課程外,職能訓練課程以策略面為主,另外也會舉辦資訊(安)主管治理研習。
公務機關的資安專職人員大約有一千五百名,每年至少要完成十二小時的資安專業續訓練時數,以及資安數位學習線上課程,以及針對策略面、管理面和技術面的職能訓練課程外,還有包括:資安人員專業訓練、稽核員訓練、政府資通安全巡迴研討會、資安技術工作坊和資安菁英人才培訓等資安職能和增能訓練。
鄭欣明表示,資安署從今年下半年開始,針對不同層級的資安專職人員設計了不同的課程內容,涵蓋技術面、管理面和策略面。我們根據機關的類別,為A、B、C級機關的資安人員設計量身定制的課程,每個人都有參訓機會,但機關得保留一定人力;為了增加機關之間的聯繫,相關課程以團隊合作活動和分組研討為主,讓建立關係與專業知能同步並進。
他指出,訓練課程內容依照制度面向分類,而機關可以依照策略、管理和技術面向參加調訓;為了強化區域聯防,也會在北中南東部區域舉辦一日課程。
他表示,為了實現資安人員一條鞭的目標,資安署還與人事總處合作,推動調訓模式,讓公務機關的資安專職人員接受統一訓練,並通過團隊合作和研討增強彼此的協同作戰能力。
另一項重大變革是針對特定非公務機關,要求其設置資安專職人員及資安長。目前許多非公務機關內的資安專責人員,往往需同時兼顧多項業務,但最終還是希望這些資安專責人員,都能更專注於資安工作。此外,希望藉由中央目的事業主管機關,可以制定更具約束力的資安獎懲制度,確保非公務機關能有效落實資安工作。
除了基礎的資安技能訓練外,資安署還與資安院合作推出「資安精英人才培育計劃」,這項計畫針對具有高階資安技術需求的人員提供更深入的課程。課程內容由國際知名講師授課,並提供實作環境,主要在培養資安領域的精英人才。他強調,這項培訓課程完全免費,且不僅限於公務部門,民間企業的資安人員也可以參加。
《資安法》的修訂重點包括強化納管機關資安管理,以及精進資安人力的策略,希望可以通過適任性查核、考科設立、資源調度、以及多層次的訓練,提升臺灣整體的資安能力。他表示,隨著資安專業化的推進,未來可以形成更為完整的資安職系,實現真正的資安一條鞭,將有助於確保國家和企業在資通安全方面有更強大的防護力。
熱門新聞
2024-11-05
2024-11-05
2024-11-04
2024-11-07
2024-11-02
2024-11-06
2024-11-05