原标题:资安法列政院优先法案,立法后将分三梯次适用
行政院资安处处长简宏伟
图片来源:iThome
原本希望最迟在去年立法院第九届第二会期可以立法通过的「资通安全管理法草案」后来,因为政府资安预算与资安人力盘点的问题,一再延迟送立法院审查的时间。
行政院资安处处长简宏伟表示,资安法仍是目前优先法案之一,行政院希望可以在釐清与其他法律之间的矛盾后,可以顺利在立法院第三会期结束前(8月底前)通过资安法。
资安法将分成三梯次,分别适用三种机关类别
简宏伟也强调,未来资通安全法如果顺利立法通过后,将分成三种机关类别,分梯次适用资安管理法的规範,首先,包括中央政府和地方政府的公务机关,是最先适用资安管理法的规範,适用日期将订在该法通过后的6个月生效。
至于其他提供关键基础设施服务的产业业者,则是在该法通过后的12个月才开始适用资安管理法;至于其他非关键基础设施提供者的公营事业,或者是政府捐助达一定比例的财团法人,则在资安法最后一波的适用对象,在立法通过后的18个月才生效;他指出,资安处也会在资安法通过后的24个月后,蒐集资安法适用过程中的所有状况,并会再进行全盘的检讨。
政府对于资安管理的组织,简宏伟表示,从最早的研考会到资通安全办公室,到去年8月1日正式成立专属的资通安全管理处,都透过这样的组织来规画政府的资安政策方针并执行相关的资安管理任务。
他强调,政府资安管理强调的是一种风险管理的概念,不需要花一百元的成本保护十元的东西,安全、便利及效率三者必须获得平衡。
因此,简宏伟指出,行政院希望这部以风险为核心的资安法,可以顺利纳管政府部门和提供关键基础设施相关的非公务部门,毕竟,近几年,关键基础设施成为必须特别防护的事情,包括公务以及非公务机关也都应该在资安管理法通过后,各自订定资通安全维护计画及通报应变办法。
政府目前规定有八大关键基础设施,包括政府机关、电厂、金融业、水公司和交通设施都在内,他举例,去年美国有一个大学环境控制系统因为连结网路后就遭到骇客入侵,因为这些环境控制系统的帐号密码设定很简单,骇客相对容易入侵。而他说,资安处也发现政府有10个机关採用和该大学同样品牌的环控系统,所以立即要求机关调整网路架构调整和修正。
因为目前资安的範围已经不是传统电脑和手机,简宏伟指出,像是无线滑鼠传输没有加密,加上通讯协定很简单,都很容易遭到冒用,这些都和每个人生活息息相关,而且,现在连许多工控系统也因为连上网路后,也都是现代资安无法漠视的重要环节。
他说:「这也是政府希望透过推动资安专法,让资安管理可以从政府机关进一步扩及到非公务机关。」
四大国家资安发展蓝图,鼓励优先採购台厂资安设备
简宏伟表示,为了打造安全可信赖的数位国家,要提升国家资安防护的能力,资安产业一定得有一定的成熟度,因此,政府在推动资安发展时,在推升资安产业自主能量时,则希望政府和企业可以优先採购台湾自主发展的资安产品。
其次,要孕育优质资安人才,就必须建立资安快速应变小组及培育资安高等研究团队;第三,为了完备台湾的资安基础,政府应该要儘速完成资安管理法的立法程序;最后,为了建构国家资安联防体系,则完成8大关键资讯基础设施及6都区域联防体系。
他进一步指出,台湾的资安产品一定要有空间,必须有场域让这些资安产品有练兵、自我提升的机会,可以从政府採购着手;至于资安人才的培养,不论是经济部、教育部或者是国防部想要打造的第四军种,都必须要有足够优质的资安人才作为基础;为了满足政府和产业对资安人才的需求,也必须让产业界、学界和军方有能力结合。
从农曆春节过后,台湾券商遭到集体DDoS的攻击和勒索,更早之前,也有台湾的游戏业者遭骇。简宏伟表示,刚开始单一游戏业者遭到DDoS攻击与勒索时,并不知道应该要和哪些单位联繫或通报,但金融业者因为是集体遭骇,主管机关和资安处、国安会等,也都出面协助。
他认为,政府一个重要的责任就是应该要推动整个联防体系,从中央政府到地方政府,以及各个产业等,进一步就要做到国际联防,提升台湾整体的资安防护能力。
而政府一直在持续堆动的资安管理法立法,简宏伟认为,这是完善资安基础环境的重要环节,立法的目的其实就是着重于保护国家安全和维护社会公共利益,也必须要同时推动台湾资安产业前进,推动国家资安安全政策和建构资通安全环境。
他也说,目前资安管理法锁定的立法对象是公务机关(包括:中央政府、地方政府和行政法人)以及非公务机关(主要锁定关键基础设施提供者),至于其他非关键基础建设提供者的公营事业或财团法人,可以之后评估是否纳入规範。以目前台湾发生的案例来看,不仅是游戏业、金融业,连学校都已经成为骇客锁定的目标。
资安旗舰计画优先採购国产资安产品,立法后6个月开始适用
简宏伟表示,目前政府机关资安长是兼职的性质,仍要负起资安管理的责任,像是美国资讯长和资安长关係不是每个都一致,有的是CISO,资安长扮演辅助资讯长的角色;另外也有资讯长和资安长平行,资安长扮演类似稽核和审计角色,所以,目前很难真正定义资安长与资讯长的差别。
但可以肯定的是,因为资安规範多,朝向专责资安长是趋势,相关的资安管理则必须由资安长督导、落实。他也说,资安管理法有承诺立法院会提供年度说明,包括针对各个机关部会的稽核成果,也会对外公开。
他强调,「资安管理法规範得对象是组织,」不论是中央和地方政府依法来讲,都是一体适用。
而在区域资安联防的部份,他希望地方政府可以採用区域合作的概念,由某个直辖市带领周遭县市政府成立区域联防机制,预计今年开始,会先挑一两个直辖市试办,先做区域资安联防,最终扩大到全省六个区域联防中心。
资安处成立后,各部会也提报资安旗舰计画,一年约十亿元。简宏伟表示,部会在参与每个资安旗舰计画时候,必须以国内资安自主产品优先,如果不能採购国产资安产品的话,则必须要先提出评估报告,希望可以经由各种公协会一起帮忙。
他认为,台湾资安业者不要只是习惯做小的资安产品,最好是要能够提供资安服务,「政府能做的就是,建立一个自由竞争的环境,但是国产资安业者提供的资安服务,一定要可以用才行。」他说。
目前资安管理法的规範,简宏伟指出,如果顺利通过资安管理法的立法程序后,公务机关在通过后半年,优先适用资安法;关键基础设施提供者则是立法后1年才开始适用资安法。
至于非关键基础设施提供者的公营事业单位,或者是政府捐助达一定比例的财团法人单位,则在该法通过后的一年半开始适用。资安处也会在资安管理法通过后2年,重新检讨资安管理法的适用範围。
?相关报导?「2017台湾资安大会直击(下)」
相关:
台湾"太阳花"占领"立法院"案宣判:22名学生无罪 [生活]
(原标题:台“太阳花学运”22名学生被告法院判全部无罪)“太阳花学运”(资料图)海外网3月31日电据台湾《联合报》报道,2014年因台“立法院”审查“服贸条例”争议引爆的“318太阳花学运”,台北地检署依妨害公务多
行政院拟立法管理财团法人,对象包括邮政协会、电信协会等;财团法人台湾电信协会今天表示,遵循交通部指导,人事上也相当精简,若往后立法管理财团法人,原则上将配合。行政院发言人徐国勇昨天表示,财团法人养肥猫
香港股市今天在区域卖压笼罩下应声下跌,主因美国总统川普未能成功推动他的健保法案,令外界质疑他的严格税务改革和支出作法过关的机会。香港恒生指数下跌0.68%,或164.57点,收在24193.70点。上海综合指数收盘跌0.
香港股市今天在区域卖压笼罩下应声下跌,主因美国总统特朗普未能成功推动他的健保法案,令外界质疑他的严格税务改革和支出作法过关的机会。香港恒生指数下跌0.68%,或164.57点,收在24193.70点。上海综合指数收盘跌
美国参议院以50:48推翻FCC隐私法案,允ISP分享资料前不需取得用户同意
图片来源: U.S. Senate 美国参议院在本周四(3/23)以50比48票否决了在欧巴马时代由美国联邦通讯委员会(Federal Communications Commission, FCC)所建立的隐私法案,打算允许ISP业者不必取得用户同意就能销售个人资