原标题:资安处预计10月中将资安管理法提报政院,最晚11月送立院审查
行政院资安处处长简宏伟表示,目前已经召开六场法案说明会,接着会送交国发会公共政策网路参与平台蒐集大众意见,预计10月中提报行政院院会,11月送立法院审查。
图片来源:行政院
行政院资安通全处处长简宏伟日前表示,列为行政院优先法案的资通安全管理法目前已经召开包括:政府机关、学者专家以及产业代表等共计6场的法案说明会,预计完成初步的法案说明后,也会放到国发会公共政策网路参与平台听取大家建言。
简宏伟指出,资安处预计在10月中旬会将资安管理法提报行政院院会进行审查,最晚将于11月送交立法院进行一读及委员会审查等立法程序。在行政院37个优先法案中,目前资安管理法列为第24案,未来审查过程中如果没有太大争议,将有机会可望在年底前通过。
关键基础设施提供者,强制规定有通报应变的责任
简宏伟表示,资安处从八月一日正式成立之后,便担任政府资安主管机关的角色,为了要能够更安全、更便利及更有效能地推动政府资通安全,资安处除了会配合政府组织变更外,也会强化政府及民间的公私协同合作的机制。因此,资安管理法除了规範政府机关之外,也正式将关键基础设施提供者等非公务机关纳入资安管理的规範範围中。
根据行政院国土安全办公室的分类,主要产业类别以:政府机关、能源、水资源、交通、高科技园区、金融、通讯传播和医疗等八大关键基础设施产业的提供者为主,因为和民众生活安全息息相关,也希望透过有相关的法源依据,能够据此要求相关关键基础设施提供者,也能建立一套良好的资安制度。
简宏伟表示,希望透过资安管理法的规範,做到由各机关落实资安责任等级的防应办事项,建立资讯系统防护基準并切实做好相关的资安委外管理,进而推动资安情资联防,真正做到政府以及相关的关键基础设施提供者,可以建立资安联防体系并做到彼此资安情资共享防护。
依照资安管理法的规定,公务机关一旦爆发资安事件,必须强制通报给行政院以及上级机关;至于非公务机关包含的关键基础设施提供者以及适用资安责任等级分级及受指定之非公务机关的产品或服务,在该法中也规定,将强制通报给中央目的事业主管机关,而资安处将和主管机关密切合作;而其他的非公务机则也可以採取自愿的方式,将爆发的资安事件主动通报到相关的主管机关。
他表示,未来资安处也会建立一个国家层级的资安情资分享单位,包括国家级的SOC(资安监控中心)、国家级的ISAC(资讯分享与分析中心)和国家级的CERT(电脑紧急应变小组),让所有的资安情资可以共享。
另外,至于关键基础设施提供者也会各自打造该领域的SOC、ISAC和CERT,由行政院资安会报指导成立各关键基础设施资安指导推动小组,并由该关键基础设施的主管机关召开各关键基础设施资安会报;而企业组织层级除了可以透过资安服务管理业者(MSSP)提供资安监控服务外,企业也应该自行建立各自的CSIRT(电脑安全事件应变小组),才能够打造完整的资安纵深防御体系。
有资安管理法授权,行政部门才能依法行政
面对面对万物联网、万物可骇的时代,连常见的网路摄影机都可以成为发动DDoS(分散式阻断式攻击)的傀儡网路(Botnet)时,因此,世界各国对于关键基础设施的资安防护都相当重视。简宏伟表示,一旦与民生安全相关的关键基础设施提供者爆发资安危机时,有了资安管理法的法源授权依据,相关主管机关就可以强制要求受骇的关键基础设施提供者,进行相关的通报应变措施,藉此确保更大多数使用者的安全性。
他也以第一银行在七月份爆发的ATM盗领事件为例,因为第一银行是隶属关键基础设施中的金融分类,除了主管机关金管会有权利对第一银行进行相关的调查外,资安处身为行政院中的资安专责机构,未来就可以依照资安管理法的授权,协同金管会进行第一银行资安事件的调查,并要求第一银行必须落实更完善的资安防护措施。
行政院资安处也引述行政院国家资通安全会报技术服务中心的统计分析指出,恶意网军对政府的攻击,若与去年同期相比,入侵攻击与扫描刺探类事件仍是最大宗,若以网军攻击的部会而言,则以外交、国防及法务相关的入侵攻击事件的成长数量最多;而相关的供应链安全也已经成为未来APT(进阶持续性威胁)攻击的重点,例如,有网军便是透过入侵防护等级较弱的委外的资服业者,或者是利用寄生在共用性系统,以及运用公有云储存服务传送窃取资料等方式,藉此降低相关的APT行为被政府相关侦测到的机率。
在相关的执行面部分,简宏伟强调,资安处也将积极推动网路攻防演练,并针对重点机关作资安稽核,且会发展资安治理成熟度的关键指标,也会透过各种资安健诊、弱点扫描、渗透测试、通报演练及电子邮件社交工程演练等,作为资安管理法所纳管单位强化资安的方式,也会将相关的成果汇报到行政院资通安全会报,并透过政府机关资安巡迴研讨会的方式,把相关的成功案例和作法,进一步提供给全台湾各地的政府机关。
即将在12月举行的行政院资安攻防演练中,简宏伟指出,今年会设计让受测单位可以立即知道自己面临的危险程度,类似像是当使用者受到勒索软体绑架,档案立刻加密而无法使用时的那种震撼教育;而未来,公务机关和非公务机关都有一定的资安通报责任和义务时,今年演练时,也会特别针对跨机关横向协调的资安联合防护做演练。
他也表示,资安处也会针对资安资服业者进行分级认证,如果是资安责任等级较高的机关,也建议採购资安认证程度较高的业者,以符合比较严谨的资安管理标準和相关程序。
此外,资安处也正在研议第五期国家资安发展方案,简宏伟强调,资安管理是一种风险管理,国家如何有一个风险管理和评估机制很重要。目前,有很多机关都有自己的风险评估和评鉴机制,希望在第五期国家资安发展方案中,可以让国家、部会以及机关等,都有纵深防御的概念;至于相关关键基础设施提供者的防护措施,则可以提供其他民间企业做为资安防护的参考。
相关:
网络配图近日,河南发现特大金矿,含金量近105吨可挖80年。据悉,河南省国土资源厅在河南省桐柏山区域内的桐柏县老湾金矿深部及外围普查项目中,发现特大金矿。这次发现的特大金矿是在河南省国土资源厅今年9月中旬组
广场中心花坛昨晨吊装完成昨夜上万盆鲜花运抵天安门广场预计今天全部搭建完成本报讯(记者王斌)昨天凌晨,天安门广场中心花坛顺利吊装完成,30余吨的花篮篮盘戴在篮体上,并且连夜完成了花坛四周坡面钢结构骨架的搭建
男子捅死阻拦盖房者案开庭死者妻儿法庭索赔57万余元京华时报讯(记者杨凤临)昌平区东三旗村村民崔芬(化名)欲在有争议的地段翻盖房屋,担心邻居阻拦,便请远亲毛国栋组织施工,并约定翻盖后所得利润二人共享。随后施工
云南丽江一旅游公司三人因涉嫌贪污挪用公款被移送审查起诉 [热事件]
中新网昆明9月23日电记者23日从云南省丽江市人民检察院获悉,丽江市一卡通旅游结算有限公司原董事长兼总经理刘雁及财务主管等三人涉嫌贪污罪、挪用公款,经该院侦查终结,移送丽江市古城区人民检察院审查起诉。消息称
美国自去年12月加息之后,连续6次冻结了利率。美联储主席珍妮特?耶伦当地时间21日在美联储例会上公布,将冻结现行的0.25~0.50%的基准利率,称“大多数认为今年年內将联邦基金加息一次是恰当的”。美国总统选举(11月