原标题:【历时3年之久】资安法三审通过,台湾资安发展将迈向制度化、一致化
行政院资安处处长简宏伟表示,《资通安全管理法》通过之后,为政府目前正在推动的许多资安事项,提供很好的法源依据和法制基础。(摄影/洪政伟)
在网络的世界中,只要可以掌握某些重要的系统按钮,例如,关键基础设施重要的资安关键系统的话,就可以做到如同西汉时代的张良一样,可以轻松达到“运筹帷幄之中、决胜千里之外”;如果想要轻松的制敌机先,效法苏东坡在念奴娇一词中,对三国时代另外一位重要军师周瑜,愜意地展现“羽扇纶巾、谈笑间、强虏灰飞湮灭”的风采时。同样地,只要你有能力好好利用网络世界的许多漏洞,甚至只要一行指令,就可以瘫痪一个国家的网络通联,在网络世界中,成功将一个国家进行锁国。
网络世界所面临的风险,已经不逊色于真实世界的危险性,在各种恶意程式或者是可供利用的漏洞层出不穷的情况下,这些工具或漏洞,甚至已经是网络世界看不到、摸不到,却会带来实际损害的数位军火。
因为,数位军火威力强大,各国政府也陆续意识到,不仅要设法理解资安风险对于国家、政府、企业甚至民众可能带来的重大损害外,更纷纷通过制定各种资安专法的方式,延伸政府对于网络世界的风险管控能力。
相较于世界其他各国,台湾在推动资通安全立法的发展的进程上,即便起头不算晚,但因为后来面临各种政治角力斗争,包括政党轮替在内的政治因素,资安专法从第一版草案推出开始,到民进党政府正式推出行政院版的《资通安全管理法草案》,一直到今年5月11日立法院三审通过《资通安全管理法》,从法案提出到法案立法通过,其实大概花费有三年时间之久,许多原本比台湾还晚推动资安立法的国家,反而更早完成相关的立法进度。
但如同行政院资安处处长简宏伟所言,《资通安全管理法》的通过为台湾资安发展画下重要的关键里程碑,提供资安法规遵循的法源依据,并为未来台湾资安发展的制度化、一致化奠基,也跟上世界各国的资安潮流,将攸关民生的各种关键基础设施纳入资安法的管理与规范中。
在2017年~2020年的“第五期国家资通安全发展蓝图”中,最终的目标就是要打造一个安全可信赖的数位国家,而《资通安全管理法》顺利三审过关,也为此打下良好的法制化基础。(图片来源/行政院资安处)
台湾早于各国要立资安专法,政治角力让立法进度落后各国早在2015年5月,前朝政府在张善政担任行政院副院长兼政府资安长的主政时间,便已经下令,委由当时的行政院资通安全办公室,推出第一版的《资通安全管理法草案》,并对此召开多场的专家座谈会。而先前的这个举动,也为台湾制定资安专法的旅程,迈开历史性的第一步。
在这样汇集各方意见的过程中,国际局势也因为资安攻击手法越来越复杂、威胁越来越巨大,挑战更是日益严峻的情况下,其他国家更是陆续制定该国的资安专法,像是,德国在2015年7月,就由德国联邦议会通过《资讯科技安全法》,主要是针对关键基础设施的资讯系统安全性,并保护公民网络安全。
另外,美国在2014年,已经针对2002年制定的《美国联邦资讯安全现代化法》(FISMA)进行大幅度修正后,并在2015年12月18日,通过新版的《网络安全法》,就是希望通过《安全资讯分享法》的修正,可以建立一个可以获得早期资安预警的资安分享框架。
另外一个影响全球甚巨的资安法规,就是欧盟欧洲议会在2016年4月27日公布的《欧盟通用资料保护规则》(GDPR),不仅因应科技发展,将许多现在科技的资讯列为个人资料(PII)的一环,例如:IP位址、Cookies或者是地理定位系统GPS的位址等,更将违法外泄欧盟民众个资的罚则,依照情节轻重,从1千万欧元或全球营收2%,提高到2千万欧元或全球营收4%不等。
而GDPR预计在今年5月25日正式实施,对于全球以及许多台湾企业在内,因应欧盟GDPR的个人资料保护规范,已经成为年度资安重大挑战之一。其中,更牵涉到英国即将于2018年3月完成脱欧程序,因此,英国政府更在2017年9月4日,公布一套可以接轨GDPR的英国新版《资料保护法草案》,就是希望即便英国已经不再是欧盟的一份子时,但是基于地缘政治以及经济市场等因素,英国也必须接轨欧盟重要的个资保护法令,否则,当英国置外于欧盟市场时,也将成为英国经济国力逐步退步的时候,因此,英国制定法规接轨GDPR,则是必然的结果。
但随着2016年3月总统大选,5月20日总统蔡英文就职后,历经政党轮替,民进党政府更成为中国网军锁定攻击的主要目标。也因为更深刻意识到,资讯安全甚至严重影响国家安全与发展时,执政党更是大幅提高资讯安全的战略位阶,揭櫫“资安即国安”资安战略目标,也预计在今年520总统就职时,对外公布“资安即国安战略”。
为了推动资安专法,民进党政府也通过行政院内部组织调整,于2016年8月1日成立行政院资安专责单位“资通安全处”,并由简宏伟担任处长一职。成立资安专责单位之后,后续资安专法的推动进度也陆续跟上进度,只不过,当时外界对于资安法草案有许多不同的建议与看法,行政院资安处光是为了搜集各方建议与进行资安法草案条文内容的沟通,更是先后开过多场针对不同身份、不同产业为主的公听会,希望借由大众共同集思广益的方式,修正当时资安法草案中,外界有疑虑的条文与字句内容。
在2017年4月27日行政院送交政院版的《资通安全法草案》进到立法院审查,并于同年5月完成立法院一读程序,同年11月出“司法及法制委员会”后,便排入朝野协商的议程中,最终,在今年5月11日完成立法院三审程序,预计一个月内总统公布后,行政院会另外制定施行的时间,以及中央与地方政府在半年内同步适用该法时间。
近年来,中国积极介入网络世界,扮演网络强权的角色,并于2016年11月7日公布《网络安全法》,于2017年6月1日正式实施,在该法施行后,甚至带来许多网络震荡,包括VPN的使用,网络实名制的推动和相关的网络信用评等机制,以及遍布重要城市的网络监视摄影机等,中国民众彻底成为没有网络隐私的一群人。
整体而言,简宏伟表示,《资通安全管理法》通过之后,为政府目前正在推动的许多资安事项,提供很好的法源依据和法制基础,就如同资安法第4条提到,不论是资安人才培育、资安技术研发整合、资安产业发展或者是资安软硬件技术规范等,都将由主管机关订定相关的《国家资通安全发展方案》,目前则是以“第五期国家资通安全发展方案”作为参考依据。
此外,未来资安处也必须制定许多子法,包括《资通安全管理法施行细则》、《资通安全责任等级分级办法》、《资通安全情报分享办法》、《资通安全事件通报及应变办法》、《特定非公务机关资通安全维护计划》以及《公务机关所属人员办理资通安全业务奖惩办法》等6个子法。
简宏伟表示,6个子法草案从开始到今年四月,已经召开九场座谈会,陆续和各界沟通,接下来,他们预计继续召开五场座谈会,将先前讨论过的子法修正内容和各界讨论。他强调,这6个子法,都是根据母法架构而成,有了更清楚的法律规定,会把程序制定得更为明确。
iThome△Security
相关:
延宕许久的《资通安全管理法草案》,是民进党团列为优先的法案之一,在5月11日召开的立法院院会中,依照民进党送进委员会的资通安全法草案版本进行审查,顺利完成三审程序。一般而言,立法院完成三审的条文,会在一个
国内第一套公用的Peta级超级电脑,以台湾特有物种“台湾杉”命名。(摄影/罗正汉) 国网中心新造超级电脑“台湾杉”上线,提供Peta级高运算量国网中心在科技部支持下,斥资4.3亿元打造的新一代超级电脑,以台湾特
【2018台湾云端大会直击】HITCON CTF骇客竞赛负责人剖析:不是删帐号或挡应用,脸书事件该注意的事跟你想的不一样
HITCON△CTF骇客竞赛负责人李伦铨。 图片来源: iThome 剑桥分析违法滥用脸书8700万笔用户资料,试图用广告在美国总统大选中影响选民立场,引起全球关注,更让脸书因涉及资料外泄而遭讨伐,剑桥分析更因此而宣布破产
台湾第一个区块链支付,台北富邦银行在政大校园商家成立区块链支付示范区
图片来源: 摄影 / 洪政伟 台北富邦银行13日宣布,在政治大学推出区块链支付应用场景,想要参与体验的政大师生,可下载富邦移动银行App,使用“Lucky△Pay”扫描政大附近合作商家的QR△Code后,即可完成付费。此举让台
台湾HITCON再度入围全球骇客攻防大赛DEF CON CTF决赛,8月于美国再战全球
DEF△CON△CTF最新主办单位OOO于日前举办今年8月举办DEF△CON△CTF的预赛,台湾HITCON战队众望所归,顺利取得决赛资格,但台湾有机会有第二队队武打入决赛,名单预计一周内公布。 图片来源: OOO提供 台湾HITCON战队