原标题:行政院拟大增资安人力、力推资安管理法今年上路,有人有资源才能真正落实资安业务
图片来源:iThome
由于「数位国家、创新经济」是未来行政院重要的发展政策方针,而兼任政府资讯长与资安长的科技政委吴政忠,也在上任后不久便对外宣示,为了摆脱过去代工时代的思维,新政府接手后立即盘点不符数位经济时代的相关法规,资通安全相关法规就是其中一项。
为了要打造数位经济时代的创新生态系统,吴政忠在去年8月1日成立行政院资通安全办公室后,立即着手订定新版资通安全管理法草案,当时更下达军令状,要求资安管理法务必在年底前完成立法院的三读程序,作为确保国家迈向数位国家政策发展的基础,创新经济政策发展的安全基石。
送立法院审查前,先盘点出资安人力缺口
院版资安管理法草案架构分成五个章节,条文共计24条,第一章总则中,主要是规範立法目的、名词定义、资通安全产业的推动、行政院职责、幕僚任务委任或委託、资安责任等级分级、情资分享机制,以及资通委外监督等8条条文。(图片来源/行政院资安处)
行政院的资通安全管理处是一个国家级的资安专责单位,英文名称「Department of Cyber Security」可以看出来,资安处未来工作重心就是网路世界的资安,并由前国发会资管处处长简宏伟,担任第一任行政院资安处处长。
简宏伟上任后的首要任务就是,让资安管理法完成立法院三读程序。至于资安管理法为什幺重要?他认为答案其实很简单,当政府通过资安管理法后,可以规範各个目的事业主管机关对于下辖单位,一旦爆发资安事件时,有一个一致性的处理标準;至于法律本身,仍採用原则性的规範,避免有任何异动,就必须付诸修法。
资安处在8月1日成立后,花一个月时间草拟一个资安处版的草案,随后召开6场法案座谈会后,也在9月22日~10月5日,在国发会公共政策网路参与平台Join中,徵询各界网友意见,10月发步了彙整座谈会结果的第一次调修版本,11月初向公务机关说明后,11月中又召开了第七次座谈会。原订在10月中旬,将资安管理法提报行政院院会进行审查,11月送交立法院进行三读的立法程序。
但是,资安法没有赶在去年送立法院,反而是延后到了今年三月第一个会期才会送立法院审查,主要原因之一是资安人力的缺口。
为了落实资安相关业务,资安处除了积极推动资安法立法之外,今年行政院也编列了高达25亿元的相关资安预算,儘管有了资源和新法案之后,但是行政院发现,还有一个关键环节需要解决,就是推动资安业务的人力不足。
行政院各部会资讯人力原本就紧缩,资安人力更是稀少。今年2月,行政院邀集各部会盘点推动资安法和相关政策所需人力,发现资安人力短多一千多人。
因为中央政府机关总员额法的限制,公务人员编制总人数不变,无法轻易扩编人力,因此,行政院初步计画透过内部调整、约聘人力或改将部分资安业务短期委外,来补齐这个人力缺口。简宏伟表示,三月再次盘点资安人力,更新人力调整进度后,就会将资安法草案送立法院审查。
纳管关键基础设施已经是国际主流趋势
不论是美国、欧洲或者是日本、韩国等,都先后制定所谓的资安专法,除了规範公务机关外,多数也包含关键基础设施服务提供者的非公务机关。台湾在设计资安管理法时,主要是参考美国的联邦资讯安全现代化法案(FISMA),但资策会科技法律中心主任顾振豪表示,该法原本并没有纳入关键基础设施。不过,当许多关键基础设施一旦失效或当机,将严重影响许多民众的安全,陆续有许多国家包含美国在内,在制定相关资安法律时,会纳入该国关键基础设施。
他表示,台湾立法跟上这样的趋势,除了参考日本在2014年通过的「网路安全基本法」,纳入关键基础设施的保护外,也撷取2016年6月德国国会正式通过的「资讯科技安全法」,纳管关键基础设施营运者的立法精神。
顾振豪表示,从他国立法的经验来看,纳管关键基础设施除了是国际趋势外,对于国家科技实力提升,具有实际的帮助,像是德国更认为这将有助于强化德国资讯科技安全企业的竞争能力,进而提高外销能力。
台湾关键基础设施分类,参考国土安全办公室分类制度
为了让政府的规範一致,资安管理法中对于关键基础设施的规定,则参考行政院国土安全办公室的相关规定。行政院国土安全办公室主任黄俊泰指出,依据「关键基础设施安全防护指导纲要」,台湾的关键基础设施(CI)分类採取三层架构,第一层为主部门(Sector),第二层为次部门(Sub-sector),第三层则为重要元件设施。
黄俊泰表示,目前常见的八大关键基础设施,指的就是主部门的八个分类,包括:能源、水资源、通讯传播、交通、银行与金融、紧急救援与医院、中央与地方政府机关、高科技园区等八类。
他也说,目前国土安全保护法还在草拟当中,对于非公务机关的关键基础设施,因为缺乏法源依据,过往只能由各部会鼓励民间企业参与,但若以长期对于关键基础设施保护的目标来看,仍应建立一个非公务机关关键基础设施安全规範和标準,必要时,可以採取必要措施来监督并确保公共利益不会受损;短期内,可以透过行政命令方式解决当务之急。
例如,远通电收ETC当年宣称遭到骇客80亿次攻击,当时担任行政院政务委员的张善政下令,要求远通电收在内,与民众权益相关的BOT专案,都必须做资安事件通报,当时政府也派员到现场了解受骇状况。
资安法首度将八大关键基础设施提供者纳入规範,包括:能源、水资源、通讯传播、交通、银行与金融、紧急救援与医院、中央与地方政府机关、高科技园区等,需接受资通安全行政检查。(图片来源/行政院资安处)
公务与非公务机关,都负有资安通报和资讯分享的义务
简宏伟表示,未来除了现有的公务机关,依照资安管理法的规定,一旦爆发资安事件,必须强制通报给行政院以及上级机关之外;非公务机关包含的关键基础设施提供者,以及适用资安责任等级分级及受指定之非公务机关的产品或服务,在该法中也规定,将强制通报给中央目的事业主管机关,资安处将会和主管机关採取密切合作。
至于,其他的非公务机则也可以採取自愿的方式,将爆发的资安事件主动通报到相关的主管机关。
「不仅要资安通报,更要做到资安资讯分享,才有机会做到资安预警。」简宏伟表示,未来资安处也会建立一个国家层级的资安情资分享单位,包括国家级的SOC(资安监控中心)、国家级的ISAC(资讯分享与分析中心)和国家级的CERT(电脑紧急应变小组),让所有的资安情资可以共享。
另外,关键基础设施提供者也会各自打造该领域的SOC、ISAC和CERT,由行政院资安会报指导成立各关键基础设施资安指导推动小组,并由该关键基础设施的主管机关召开各关键基础设施资安会报;而企业组织层级除了可以透过资安服务管理业者(MSSP)提供资安监控服务外,企业也应该自行建立各自的CSIRT(电脑安全事件应变小组),才能够打造完整的资安纵深防御体系。
仿个资法架构制定资安管理法
政院版资安管理法草案架构分成五个章节,条文共计24条,第一章总则中,主要是规範立法目的、名词定义、资通安全产业的推动、行政院职责、幕僚任务委任或委託、资安责任等级分级、情资分享机制,以及委外监督等8条条文。
第二章和第三章则参考个资法架构,分别是针对公务机关以及非公务机关的资通安全管理做规範,前者主要是针对公务机关做资通安全管理与维护计画、资通安全长的设置、年度资通安全报告提出、资通安全查核、通报应变措施及奖惩措施的规範;后者则以关键基础设施提供者资通安全维护的管理与监督、受指定之非公务机关所提供之产品或服务资通安全管理之管理与监督、资通安全事件通报应变,以及如何进行行政检查为主。
目前第四章规範的罚则以行政处罚为主,主要规範非公务机关,依照情结轻重有不同的罚锾,没有制定相关的资通安全维护计画,可处新台币10万元以上、200万元以下的罚锾;如果没有在期限内改正,还可以继续处罚;没有依照规定通报资安事件,处10万元以上、100万元以下罚锾;期限内没有改正,仍可以继续处罚。
不过,简宏伟表示,目前各界对于罚则的内容,是否应该要处以比较重的罚则有不同意见,仍会进一步听取各界意见后,再纳入行政院版本中。
简宏伟表示,资安管理法是资安治理法制化第一步,有资安管理法授权,行政部门才能依法行政。例如,一旦与民生安全相关的关键基础设施提供者爆发资安危机时,有了资安管理法的法源授权依据,相关主管机关就可以强制要求受骇的关键基础设施提供者,进行相关的通报应变措施,藉此确保更大多数使用者的安全性。
?相关报导?「台湾资安动起来」
相关:
(健康医疗网/记者林怡亭报道)张伯伯80岁行动不便,家里只有女儿照顾,生活起居十分不便,病人本身有中风病史,时常因为反复感染及并发症须住院治疗,每次病情变化经诊所转诊要进一步检查时,手里拿着书面转诊单,心
(健康医疗网/记者林怡亭报道)为提供消费者正确讯息及强化食品卫生安全管理,卫生福利部食品药物管理署规定,于106年1月1日起有包装食品与玩具并同贩售,应标示醒语规定及其他食品标示等7项新制上路。食品标示7项新制
立法院财政委员会今天(23日)审查有关台股当冲交易降税的“证券交易税”修正草案,包括院版降税至千分之1.5以及国民党立委罗明才等人提出降至千分之1的方案,全都通过初审,并案送交院会审查,三审前需经朝野协商。财
近年来,梁园区水利局以实行最严格水资源管理制度考核为抓手,建立 三条红线 控制指标体系,严格落实水资源论证、取水许可、水资源有偿使用、水功能区管理等制度,不断强化水资源节约保护。 坚持宣传与示范引领相结
近年来,梁园区水利局以实行最严格水资源管理制度考核为抓手,建立 三条红线 控制指标体系,严格落实水资源论证、取水许可、水资源有偿使用、水功能区管理等制度,不断强化水资源节约保护。 坚持宣传与示范引领相结