原标题:行政院版资安管理法草案出炉,年底拼三读
图片来源:iThome
由于「数位国家、创新经济」是未来行政院重要的发展政策方针,而兼任政府资讯长与资安长的科技政委吴政忠,也在上任后不久便对外宣示,为了摆脱过去代工时代的思维,新政府接手后立即盘点不符数位经济时代的相关法规,资通安全相关法规就是其中一项。
为了要打造数位经济时代的创新生态系统,吴政忠更要求,在今年8月1日才正式成立的行政院资通安全办公室,应该立即着手订定新版的资通安全管理法草案,更下达军令状,要求资安管理法务必在年底前,完成立法院相关的三读程序,作为确保国家迈向数位国家政策发展的基础,创新经济政策发展的安全基石。
资安管理法预计11月将送立法院审查
行政院的资通安全管理处是一个国家级的资安专责单位,英文名称「Department of Cyber Security」可以看出来,资安处未来工作重心就是网路世界的资安,并由前国发会资管处处长简宏伟,担任第一任行政院资安处处长。
简宏伟上任后的首要任务就是,让资安管理法完成立法院三读程序。至于资安管理法为什幺重要?他认为答案其实很简单,当政府通过资安管理法后,可以规範各个目的事业主管机关对于下辖单位,一旦爆发资安事件时,有一个一致性的处理标準;至于法律本身,仍採用原则性的规範,避免有任何异动,就必须付诸修法。
简宏伟指出,资安处在8月1日成立后,花一个月时间草拟一个资安处版的草案,随后召开6场法案座谈会后,也在9月22日~10月5日,在国发会公共政策网路参与平台Join中,徵询各界网友意见,预计在10月中旬,将资安管理法提报行政院院会进行审查,最晚将于11月送交立法院进行三读的立法程序。
在行政院37个优先法案中,资安管理法列为第24案,未来审查过程中如果没有太大争议,将有机会可望在年底前通过。
纳管关键基础设施已经是国际主流趋势
不论是美国、欧洲或者是日本、韩国等,都先后制定所谓的资安专法,除了规範公务机关外,多数也包含关键基础设施服务提供者的非公务机关。台湾在设计资安管理法时,主要是参考美国的联邦资讯安全现代化法案(FISMA),但资策会科技法律中心主任顾振豪表示,该法原本并没有纳入关键基础设施。不过,当许多关键基础设施一旦失效或当机,将严重影响许多民众的安全,陆续有许多国家包含美国在内,在制定相关资安法律时,会纳入该国关键基础设施。
他表示,台湾立法跟上这样的趋势,除了参考日本在2014年通过的「网路安全基本法」,纳入关键基础设施的保护外,也撷取2016年6月德国国会正式通过的「资讯科技安全法」,纳管关键基础设施营运者的立法精神。
顾振豪表示,从他国立法的经验来看,纳管关键基础设施除了是国际趋势外,对于国家科技实力提升,具有实际的帮助,像是德国更认为这将有助于强化德国资讯科技安全企业的竞争能力,进而提高外销能力。
台湾关键基础设施分类参考国土安全办公室分类
为了让政府的规範一致,资安管理法中对于关键基础设施的规定,则参考行政院国土安全办公室的相关规定。行政院国土安全办公室主任黄俊泰指出,依据「关键基础设施安全防护指导纲要」,台湾的关键基础设施(CI)分类採取三层架构,第一层为主部门(Sector),第二层为次部门(Sub-sector),第三层则为重要元件设施。
黄俊泰表示,目前常见的八大关键基础设施,指的就是主部门的八个分类,包括:能源、水资源、通讯传播、交通、银行与金融、紧急救援与医院、中央与地方政府机关、高科技园区等八类。
他也说,目前国土安全保护法还在草拟当中,对于非公务机关的关键基础设施,因为缺乏法源依据,过往只能由各部会鼓励民间企业参与,但若以长期对于关键基础设施保护的目标来看,仍应建立一个非公务机关关键基础设施安全规範和标準,必要时,可以採取必要措施来监督并确保公共利益不会受损;短期内,可以透过行政命令方式解决当务之急。
例如,远通电收ETC当年宣称遭到骇客80亿次攻击,当时担任行政院政务委员的张善政下令,要求远通电收在内、与民众权益相关的BOT专案,都必须做资安事件通报,当时也派员到现场了解受骇状况。
公务与非公务机关,都负有资安通报和资讯分享的义务
简宏伟表示,未来除了现有的公务机关,依照资安管理法的规定,一旦爆发资安事件,必须强制通报给行政院以及上级机关之外;非公务机关包含的关键基础设施提供者,以及适用资安责任等级分级及受指定之非公务机关的产品或服务,在该法中也规定,将强制通报给中央目的事业主管机关,资安处将会和主管机关採取密切合作。
至于,其他的非公务机则也可以採取自愿的方式,将爆发的资安事件主动通报到相关的主管机关。
「不仅要资安通报,更要做到资安资讯分享,才有机会做到资安预警。」简宏伟表示,未来资安处也会建立一个国家层级的资安情资分享单位,包括国家级的SOC(资安监控中心)、国家级的ISAC(资讯分享与分析中心)和国家级的CERT(电脑紧急应变小组),让所有的资安情资可以共享。
另外,关键基础设施提供者也会各自打造该领域的SOC、ISAC和CERT,由行政院资安会报指导成立各关键基础设施资安指导推动小组,并由该关键基础设施的主管机关召开各关键基础设施资安会报;而企业组织层级除了可以透过资安服务管理业者(MSSP)提供资安监控服务外,企业也应该自行建立各自的CSIRT(电脑安全事件应变小组),才能够打造完整的资安纵深防御体系。
仿个资法架构制定资安管理法
政院版资安管理法草案架构分成五个章节,条文共计24条,第一章总则中,主要是规範立法目的、名词定义、资通安全产业的推动、行政院职责、幕僚任务委任或委託、资安责任等级分级、情资分享机制,以及资通委外监督等8条条文。
第二章和第三章则参考个资法架构,分别是针对公务机关以及非公务机关的资通安全管理做规範,前者主要是针对公务机关做资通安全管理与维护计画、资通安全长的设置、年度资通安全报告提出、资通安全查核、通报应变措施及奖惩措施的规範;后者则以关键基础设施提供者资通安全维护的管理与监督、受指定之非公务机关所提供之产品或服务资通安全管理之管理与监督、资通安全事件通报应变,以及如何进行行政检查为主。
目前第四章规範的罚则以行政处罚为主,主要规範非公务机关,依照情结轻重有不同的罚锾,没有制定相关的资通安全维护计画,可处新台币10万元以上、200万元以下的罚锾;如果没有在期限内改正,还可以继续处罚;没有依照规定通报资安事件,处10万元以上、100万元以下罚锾;期限内没有改正,仍可以继续处罚。不过,简宏伟表示,目前各界对于罚则的内容,是否应该要处以比较重的罚则有不同意见,仍会进一步听取各界意见后,再纳入行政院版本中。
简宏伟表示,资安管理法是资安治理法制化第一步,有资安管理法授权,行政部门才能依法行政。例如,一旦与民生安全相关的关键基础设施提供者爆发资安危机时,有了资安管理法的法源授权依据,相关主管机关就可以强制要求受骇的关键基础设施提供者,进行相关的通报应变措施,藉此确保更大多数使用者的安全性。
?相关报导 ?资安管理法草案出炉
相关:
【业界心声】资安管理法统一资安规範高度,更能拉齐产业资安水準
图片来源: iThome 如今越来越多的服务必须透过资讯科技才能提供,但不论交易或是服务,过往经常呈现出不对称的状态,如台湾电子商务业者拥有大量且宝贵的客户资料,却往往因为公司规模小,而没有经费投入在资安项目中
【业界心声】公司规模小不用怕被资安管理法管,可思考产业资安联合委外
图片来源: iThome 由于资安管理法的立法架构,是参考个资法中分成公务机关与非公务机关两部分,故刚开始举办资安管理法说明会时,许多企业对于非公务机关纳管範围,究竟包含哪些产业别,疑虑最深。和沛科技总经理翟本
【学界观点】8大关键产业应纳入资安管理法管辖,情资分享才有预测力
图片来源: iThome 行政院资安处草拟资安管理法的同时,为了避免政府过度滥权,汇集各界意见后,不仅会删除行政机关指定的产业纳管条文,也以明文和提供清单方式,送交行政院核定,藉此规範究竟有哪些非公务机关,受到
行政院资安处在网路上公开「资通安全管理法草案」徵求各界建议,也将9月6场产、官、学界座谈会建言上网公开。 图片来源: iThome 为了赶在今年底前能够完成资安管理法三读,行政院资安处8月底一完成法案初稿,就一连
【资通安全管理法草案整体架构】本法以资通安全管理为核心,分为5个章节,计24条。资料来源:行政院资安处,2016年9月23日草案版本 行政院资安处在9月底上网公开了资通安全管理法草案时,一方面汇集各界建议,另一