行政院資通安全辦公室主任蕭秀琴今(26)日在一場臺灣惠普舉辦的資訊安全研討會中表示,預計今年下半年,行政院將優先制定資訊安全管理法作為政府資安管理的主要法源依據,資安主管機關則是行政院在2014年指定的科技部。

先制定具備作用法性質的資訊安全管理法

蕭秀琴指出,在2014年底時,行政院原本已經草擬一份資安基本法,希望能夠作為政府資安作為的參考依據,不過,在法務部資訊處處長陳泉錫等人的鼓吹下,資安只是資訊的其中一個環節,應該要朝制定資訊基本法的方向努力。

行政院認同資訊基本法的制定方向,但又希望在已經確定科技部為資安主管機關的同時,也可以先制定一份可供參考的資安基本法。因此,行政院預計在下半年,先行通過法律位階為作用法的資訊安全管理法,除了規範政府機關外,也包含與關鍵基礎建設相關的產業,讓政府需要民間企業配合時,於法有據;當然也希望可以將法的範圍擴大到只要有運用資通訊工具資安和其他相關產業,但是否完全納入上述企業,蕭秀琴指出,目前內部還在討論中,未來也會放到vTaiwan平臺上,徵詢公眾意見後、再送立法院審查。

而通過資訊安全管理法的好處,蕭秀琴表示,資訊安全議題越來越重要,但是,政府資源有限,在目前以行政法規命令要求政府部門強化資安時,遇到資源衝突,難免會左支右絀,但有了資安管理法後,可以明確規範政府部門資安預算編列和人力資源等,對於強化政府資安更有正面效益。至於範圍更大的資訊基本法,將由國家發展委員會負責相關的草擬。她表示,雖然會先通過資訊安全管理法,之後才會通過資訊基本法,但本質上並不互相排斥,甚至可以達到相輔相成的效果。

資安管理法的制定,臺灣也大幅參考美國新聯邦資訊安全管理法(FISMA 2008)的相關精神與內容,該法規定美國各政府機關必須發展、制定和執行資訊安全計畫,每年也要針對資訊安全控管政策、程序、實務等面向進行測試與評估。而美國心聯邦資訊安全管理法並賦予白宮管理和預算辦公室(OMB,Office of Management and Budget)及國家標準技術局(NIST,National Institute of Standards and Technology)對聯邦機關進行監督與審查的相關職權。

思考如何將民間納入資安通報範疇

為了提升政府對資安防護能,2013年計畫將原本的資安技術服務中心轉型成為第二線單位,預計朝向行政法人轉型前進,還在進行相關組織法制定。在今年,則擴大從2009年成立的G-ISAC(政府資訊分享平臺)的功能,預計將鎖定10~15個政府機關蒐集資安事件,初步估計每天總計將有超過700萬筆資料,為了找到事件發生的真正原因,也開始透過大資料分析的模型,找出資安事件的根因所在,

她指出,目前政府機關對於相關資安事件的通報應變已經有一定的應變流程,在多次的資安模擬演練下,各部會也相當熟悉,但目前缺少的環節則是民間的資安事件通報環節,除了行政院副院長在擔任政務委員任內,要求與民生有關的BOT單位納入政府資安通報的環節中,目前仍在思考,該如何做到民間願意通報發生重大資安事件,讓相關政府或民間機構,可以及早因應。

熱門新聞

Advertisement