原标题:【业界心声】资安管理法统一资安规範高度,更能拉齐产业资安水準
图片来源:iThome
如今越来越多的服务必须透过资讯科技才能提供,但不论交易或是服务,过往经常呈现出不对称的状态,如台湾电子商务业者拥有大量且宝贵的客户资料,却往往因为公司规模小,而没有经费投入在资安项目中。
不过,勤业众信风险谘询事业部总经理万幼筠认为,行政院资安处草拟的这份资安管理法,因为是作用法,在不讨论组织位阶的情况下,更看重如何可以实际上落实相关的规範时,能够把双方的权利义务谈清楚,也要把该遵循的準则订清楚,反而可以趁这个机会,把过去散落在各个法条中的资安规範、资安参考指引或準则,甚至是相关的资安防护的作法等等,全部做一次盘点和彙整,也让此次新纳入资安管理法规範的八大关键基础设施提供者,有一套通盘的资安规範可以参考。
透过资安盘点及早发现资安缺口
万幼筠认为,资安管理法首度将关键基础设施提供者纳入规範,也是一项从国家安全角度来审视资安的作法,毕竟,「资安等于国安,而许多关键基础设施往往与许多民众的生活安全息息相关,因此落实保护关键基础建设,也是一种资安防护的作法。」他说。
万幼筠也举例,微软XP作业系统在2014年4月8日终止支援后,公务机关为了确保作业系统的安全性,要求各个政府部门全面盘点XP作业系统的使用情况,并要求制订落日条款、编列预算,全面更换到比较安全的新作业系统。以目前来看,除了少数偏远的3、4级机关,还有使用微软XP作业系统之外,公务部门几乎已经完全升级完毕。
但他也说,若2014年公务机关开始进行微软XP作业系统的资安盘点时,便把身为关键基础设施提供者之一的金融业也纳入盘点,过程中一定会发现,如一银以及其他银行在内的ATM,多数还在使用微软XP作业系统。万幼筠认为,透过全面性盘点,以找出脆弱的资安环节,再加上法规的要求,就能够迫使银行业者更早因应ATM相关的资安风险。
资安管理法拉齐各产业资安水準,明订资安情资分享机制
而其他的国家大多已制定资安管理的专门法律,台湾过往因为只规範公务机关为主,反而过度零散。这次的立法过程中,多数人的看法都赞成类似的立法机制,只是对于内容和架构的观点不同而已。
「许多产业资安水準有很大的落差,此次透过制定资安管理法,可以透过法规,要求各个重要产业的资安水準,以拉到一致性水準。」万幼筠认为,这也是此次立法对于纳入规範的公务机关与非公务机关所带来的最大效益。
此外,在资安管理法中,也明订行政院应该要建立资通安全情资的分享机制,万幼筠指出,美国在发生911的恐怖攻击事件后,便成立了国土安全部(DHS),其中,国土安全部一个很重要的任务除了蒐集情资外,也必需要做到情资安的分享机制,才能真正达到「联防」的效果。
他认为,台湾以往因为缺乏法源依据,许多单位即便掌握了重要的资安情资,却因为无法适当地分享出去,而未做到提前资安预警,而让相同的资安风险先后在机关内陆续引爆。「好的情资可以让你上天堂。」他认为,透过一个资安情资分享机制,可以做到产业联防,甚至做到事前的资安预警。
资安管理法的罚则採用行政处罚并没有刑责在内,万幼筠同意,该法本身罚则并不重,但是,有一些主管机关在进行相关行业的监管时,不见得会用这幺轻罚则的条文作处罚的依据,例如,金管会针对金融业者的处罚,像是银行外洩个资时,金管局会以违反内稽内控的条文,最高处罚银行400万元的罚款,往往比个资法的罚则重。
先求有再求好,把资安鉴识等细节保留在细则中
资安管理法草案历经多次讨论,迄今已经举办了六次说明会,参与人士包含机关、产业代表与学者专家等,而仍将资安管理法视为原则性的法规,比较细部的执行细节规範,则会保留在细则中制定。
举例来说,万幼筠表示,在处理资安事件时,很重要的是必须要保存完善、準鉴识等级的数位证据,例如Log等,才能够进一步做数位鉴识,以查出事件的根本原因。目前,在资安管理法的法条中并没有相关的规定,他建议,可以考虑接下来在制定施行细则时,纳入相关的规範。
他指出,这次资安管理法草案有24条,也会参考一些国际标準或是交易习惯,甚至是其他各国的资讯框架和规定等,都让资安管理法的立法可以跟上国际潮流,而这也让各个中央目的事业主管机关,可能够用相同的资安水準,来规範个各产业的资安防护措施。
?相关报导?? 资安管理法草案出炉
相关:
【业界心声】公司规模小不用怕被资安管理法管,可思考产业资安联合委外
图片来源: iThome 由于资安管理法的立法架构,是参考个资法中分成公务机关与非公务机关两部分,故刚开始举办资安管理法说明会时,许多企业对于非公务机关纳管範围,究竟包含哪些产业别,疑虑最深。和沛科技总经理翟本
图片来源: iThome 国土安全办公室规範的八大关键基础设施服务提供者,其中就包含了紧急医疗与医院,面对资安管理法将医院纳入资安控管的範畴,义大医院资讯部经理庄博昭表示,许多医院都陆续取得ISO 27001资安认证,
【学界观点】8大关键产业应纳入资安管理法管辖,情资分享才有预测力
图片来源: iThome 行政院资安处草拟资安管理法的同时,为了避免政府过度滥权,汇集各界意见后,不仅会删除行政机关指定的产业纳管条文,也以明文和提供清单方式,送交行政院核定,藉此规範究竟有哪些非公务机关,受到
日前,由芜湖哈特机器人产业技术研究院牵头,安徽埃夫特智能装备有限公司、安徽工程大学等12家单位共同组建的安徽省机器人产业知识产权联盟通过省知识产权局批准。组建后的联盟,将为我省机器人企业建立行业专利数据
LVMH以7亿美元收购箱包品牌RIMOWA80%股份为了继续巩固奢侈箱包市场领导地位,全球最大的奢侈品集团LVMH再次出手收购,本周LVMH集团宣布收购德国高级皮具及旅行箱制造商RIMOWA的大多数股权,这也是LVMH集团首次收购德