原标题:【行政院预告资安法6大子法草案】适法机关落实法遵的参考指引(下)
在资安法6大子法中,行政院资安处处长简宏伟认为,最重要的子法,除了施行细则之外,就是“资通安全责任等级分级办法草案”,因为,机关的资安责任等级一旦分错,对于防护的强度就立即减弱,就可能对机关组织,带来立即性的资料外泄,或遭到针对性APT攻击的威胁。(摄影/洪政伟)
资安法6大子法当中,除了有施行细则补足资安法本身规范或说明不足之处外,最重要的子法应该就是“资通安全责任等级分级办法”,分成A、B、C、D、E总共5个等级,依照业务机密程度以及牵涉民众范围而制定相关的标准。这也是面对资安事件时,“事前”应该完成的任务目标之一。
资安责任分成A级到E级总共5级,首度列出不纳管单位行政院资安处指出,像是健保署、财政资讯中心或者是内政部等这几个单位或部会,业务与资讯系统牵涉全国民众,重要性势必得提升,所以直接列为A级机关。但是,目前所有的机关分级,还是需要进行后续的评估以及公告程序,这三个例子则是目前,少数已经可以很明确确定业务与资讯系统重要性的单位。
行政院资安处处长简宏伟也说,简单的概念来看A、B、C、D、E级机关,事涉全国性的业务或系统,大致可以列为A级机关;如果是跨县市的区域性业务或系统,则可以列为B级机关;若是单一县市提供的业务或系统,可以列为C级机关;如果是有提供资讯相关业务或服务,但相关的系统都由上级或是主管、监管机关代为管理的话,就是D级机关。
他强调,现在政府也针对各级机关有做业务重要性的分级,但目前只有列为A、B、C、D等四级,不过,在针对资安责任等级的分级时,其实会发现,还是有一些单位并没有提供相关的资讯服务,相关的资讯系统也都委由上级或主管、监管机关代劳的情况下,就不需要一定要求这样的业务单位,承担所谓的资通安全责任,便首度规范了一个E级机关,就是不纳管“不具备任何资安责任”的单位,纳入资安责任等级的分级制度中。
但简宏伟指出,未来这些机关资通安全责任等级,除了会由机关单位自行评估重要性外,也会加入主管机关、上级机关或监督机关的看法,最后进行统一公告。这次制定责任等级的过程中,因为等级的规定不同于现有的规定,如何制定一个有弹性又符合现况需求的责任等级分级标准,对于主管机关行政院而言,的确是一大考验。
资安责任等级分5级,A~C级都得2年内取得台版CNS△27001认证在资安法6大子法中,简宏伟认为,最重要的子法,除了资安法施行细则之外,就是“资通安全责任等级分级办法草案”最重要,因为,机关的资安责任等级一旦分错,对于防护的强度就立即减弱,就可能对机关组织,带来立即性的资料外泄,或遭到针对性APT攻击的威胁。
若从资安责任等级中所规定的应办事项来看,不论是公务机关或者是特定非公务机关,A级到C级机关的资安管理,都必须同时着重管理面与技术面,差别会因为等级高低的不同,而有管理强度的不同。
以A级公务机关应办事项为例,条文中要求,当机关初次核定或等级变更后的一年内,必须依照机密性、完整性、可用性以及法律遵循性等四个构面,针对防护等级高、中、低的差别,确保相关资通系统防护需求的分级原则;而在定义相关的防护需求等级时,都以等级需求最高者为主要的等级标准。
从条文中也规定,不论是A级、B级和C级的公务或是特定非公务机关,都必须要在2年内取得台版CNS△27001或是ISO△27001的资安认证;同时,针对A级~C级公务机关,也强制要求配置4人、2人和1人的资安专职人员。
简宏伟表示,政府可以强制机关投入某类资源,例如人力,放在资安领域上,但政府无法强迫非公务机关也必须如法炮制,仍须尊重非公务机关对于营运的自主性。
在技术面上,包括防毒软件、网络防火墙以及邮件过滤机制等,是从A级到D级机关,共有的资安防护设备,保持定期的软硬件更新则是落实资安防护的基本功。另外,资安教育训练则是不管哪一个等级都必须具备的基本防护概念,A级~C级机关有专职的资安人员,每年都必须接受12小时以上的资安专业训练,但若是一般的使用者或是主管,则必须要接受3小时的资安教育训练。
通过稽核方式,强化对特定非公务机关监督管理之责不论是公务机关或是特定非公务机关,“事前”都必须根据资安法施行细则来制定资安维护计划,但后续相关的适法机关,就必须针对这份资安维护计划,提出各自的施行状况;并由主管机关、上级机关、监督机关或者是中央目的事业主管机关,针对该份计划的执行程度,进行后续的稽核。简宏伟认为,“事中”稽核最重要的目的,除了要确认整体计划执行的符合程度,也可以提出“事后”相关的改善计划。
他表示,公务机关只需要通过行政命令的方式,就可以进行相关稽核的要求与规范,“依法行政”是公务机关的本质;但对于特定非公务机关而言,为了不侵犯其相关的权力,一旦有任何的要求时,都必须制定相对应的法令才行。
为了强化主管机关对于特定非公务机关的监督与管理,也希望要协助这些特定非公务机关,可以及时发现资安维护计划执行时的缺失,并适时进行修正。因此,行政院便通过制定《特定非公务机关资通安全维护计划实施情形稽核办法草案》,以现场实地查核的方式,稽核上述单位其资通安全维护计划实施情况;一旦有发现缺失,受稽核机关也应该在指定时间内提出事后的改善报告;主管机关也可以要求受稽核机关在必要时,于指定时间内进行说明或调整。
资安情报分享应该避免营业秘密等资料外泄事前针对《资通安全事件通报级应变办法草案》制定通报应变机制后,一旦事中爆发任何资安事件,就可以依照规范进行通报。
不过,这些资安事件所产生的情报,如果可以善加利用,不论是对上级机关或者是平行或是下级机关,甚至是产业或是其他国际合作等,都可能带来加乘的效果。
曾经有资安专家邱铭彰(网络昵称鸟人)表示,台湾长期作为许多网军练兵的场所,遭受到的各种恶意程式攻击,反而成为台湾最珍贵的天然资源,都有助于台湾资安产业未来进一步的发展。
因此,简宏伟认为,不论是各种恶意程式或是漏洞通报等资讯,都是宝贵的资安情报,可以针对不同机关之间甚至是国际间进行情报交换合作,不仅有助于资安事件的现前预防和事中处理,甚至对于事后鉴识都可以发挥重要的关键效益。
但他也强调,所有的资安情报分享的过程中,都必须避免各种营业秘密、个资或隐私资料的外泄事件,也必须确保所分享的资安情报,不会在未经授权的前提下,遭到不当存取、外泄或窜改。
资安治理逐步向上集中,以资安成熟度作为评量标准资安法这6个子法,补足资安法母法更多的细节,提供更多明确可以执行的参考步骤与方法。但是,要完全参照这6个资安法子法的规范,逐步完成所有应该准备的文件和程序,也并不是一件容易的事情。
简宏伟认为,所有公务与特定非公务机关面对时间规画的待办任务,可以从IT盘点、制定资通安全维护计划、制定通报级应变办法以及提报机关资安责任等级着手。
尤其是,资安治理的目标就是希望可以逐步将资安业务做到向上集中,简宏伟指出,通过分级分类的概念,让没有人没有钱的单位,可以慢慢将资讯、资安业务向上一级单位集中。
若从资安责任等级的公务和非公务机关的应办事项来看,A级、B级和C级机关,资安管理都必须兼顾管理面、技术面以及相关的教育训练,但D级机关,只需要做到技术面与认知与训练的面向即可。
至于机关资安责任等级分级问题,简宏伟建议,目前要做到IT盘点外,也必须定义核心业务,再来找出核心系统,以及进行营运冲击分析(BIA)以及风险评鉴(RA),定义可以接受的风险后,就可以订出机关的资安责任等级。
目前中央部会加上地方政府以及5院加上总统府,将近有70个机关单位,一般而言,上级加上中央目的事业主管机关通常会有表较多的资安资源,包括资安专责人力等。但以目前子法的规范,A级机关会有4个资安专职人力,B级机关会有2名资安专职人力,C级机关会有1个资安专责人力;至于特定非公务机关,因为要尊重公司营运的权力,并不强制规范是否要设置多少名资安人力。
“资安责任等级的订定是最重要的,”简宏伟说,未来相关稽核的目的不一样,以前是偏重政策宣导性,以及管理面与技术;但未来,偏重资安治理,资安维护计划强调的是完整性,基础的运作是否符合维护计划的规范,有法规遵循的概念在内,至少要做到依法行政、依法处理;另外也要针对资安维护计划,要提出改善报告和相关的矫正措施。
在相关的资安人才培育上,可以参考“资安产业发展行动计划”,但简宏伟认为,台湾资安发展现况,更适合用“资安成熟度”作为衡量的标准。其他的,对于资安产业的发展,他认为应该要看资安产业带来的扩散效益,包括政府部门和特定非公务机关的关键基础设施服务提供者等。
在2016年创造的资安产业产值大约3百多亿元,如何产生“外溢效应”,从政府部门本身,外溢到关键基础设施,再外溢到140万家中小企业、2千家电商等,例如,可以通过产业一起进行团购资安服务等,都是可以参考的手段。
?
特定非公务机关资安事件通报应变流程特定非公务机关一旦爆发资安事件,处理步骤和公务机关一样,必须要1小时内,依照主管机关指定的方式,进行资安事件通报;如果是第一级或是第二级资安事件,主管机关在接获通报8小时内进行资安事件等级的审核;若是第三级或是第四级资安事件,则必须在接获通报2小时内完成。资料来源:行政院资安处,2018年7月?
资安情报分享方式一览表包括恶意程式或是系统漏洞,都是重要的资安情报,有效的情报分享可以做到事前预防,对于事中的事件处理,以及事后资安鉴识也都有帮助。但在情报分享时需注意,设计营业秘密或个资、隐私议题,原则不得分享;但如果法令有规定,或经当事人同意、去识别化后,例外就可以分享。资料来源:行政院资安处,2018年7月?
?相关报道??资安法六大子法草案出炉:翻新责任分级架构,全套法遵执行要求曝光?
?相关报道??资安法立院三审通过相关:
示意图,与新闻事件无关。 三月间Uber将东南亚业务出售给当地最大叫车服务业者Grab。不过新加坡主管机关认为双方合并有垄断市场可能,周四表示将否决这桩交易。新加坡竞争与消费者委员会(Competition△and△Consu
错手上载 YouTube!Sony 网管完整电影当预告片 | 香港 UNWIRE.HK 玩生活.乐科技
一般在网上看到的电影预告片,大概只有两三分钟,不过昨日电影公司 Sony Pictures Entertainment 就上载了可能是史上最长,达 1 小时 29 分 46 秒的“电影预告”到 YouTube,明显地这根本并非电影预告,而是一出货真
微软预告将推出新Windows容器映像档,抢先开放开发人员测试
图片来源: 微软 现今容器技术已对IT基础架构、软件开发流程产生巨大的影响,从Docker开始掀起这波热潮后,多家IT龙头分别响应支援,历经三、五年发展,现在已有越来越多企业,开始将容器部署在自家正式环境执行。在容
法律法规网消息 没钱不要搭廉航?有网友在网络贴文,表示日前他在日本名古屋机场时,前方一位大妈因为行李超重,竟然大骂地勤“白痴”,其他人劝她别这样,她竟开始暴走,不但大呛“我在行政院上班
法律法规网消息 嘻哈歌手PG ONE今年初被爆金马影后李小璐共度春宵,背叛兄弟贾乃亮,从此遭全网封杀成了过街老鼠,很长一段时间消失众人视线中。近日PG ONE通过小号低调发布新作品,56秒freestyle可以感受到他的心