【資安政策大剖析】擘畫數位國家安全藍圖，以風險管理作防護核心

「因為沒有百分之百的安全，所以在面對各種資安威脅時，最重要的評估標準就是風險接受程度。」因此，政府在制定相關的資安防護策略時，都是以風險管理作為核心，這也可以從早期預警、持續監控、通報應變到協助改善等四個面向來看，如何落實相關的資安防護策略和步驟。

即使是規畫並制定國家資安發展藍圖，風險管理依然是最主要的評估核心價值，如果要花一百元保護價值二十元的東西，就風險評估而言，這是不適當的。畢竟，政府希望要打造一個安全可信賴的數位國家，雖然有一些民眾因為不信任政府，擔心政府有監控民眾的舉動而不願意使用相關電子化政府的措施，但最終，政府應該讓自己變成一個平臺，提供民眾好的服務以及安全的環境。

從風險管理角度看國家資安發展藍圖

從風險的角度來看，資安防護有幾種方式，包括降低風險、接受風險、消除風險，以及無法接受的風險，則可以透過像是保險等方式去轉嫁風險。

若從早期預警來看，可以從蒐集網路流量資訊和分析樣態，事先從一些資產管理或者是儀表板之類的系統，發現政府內部面臨的可能風險為何？若從持續監控作為來看，就可以從監控網路流量以掌握潛在攻擊的攻擊態勢；一旦發現可疑或已經遭到攻擊後，必須做到即時通報、應變聯防並且做損害控制，最後必須要能夠從數位鑑識來追根究柢，找到威脅的來源並做後續的改善措施。

有上述這種風險管理概念，在面對國家資安發展藍圖時，就會清楚知道，要保障數位國家的安全，就要有足夠的自我防護能量，除了要做到多層次的縱深防護之外，更重要的關鍵就是，如果真的不幸遭到攻擊或被入侵，政府或國家是不是有能力，可以在第一時間就感知到已經受駭？甚至於，有沒有辦法讓攻擊者或入侵者「進得來、出不去」，甚至是有能力設下陷阱，讓攻擊者或入侵者拿走的是假資料，或者是已經可以被追蹤的資訊呢？

要達成這樣的目標，目前政府從四個策略方向來推動，分別是完善資安基礎環境、建構國家資安聯防體系、推升資安產業自主能量，以及孕育優質資安人才。

行政院資通安全處處長簡宏偉表示，要落實政府資安治理，可以透過資安成熟度指標作為評估基準，到2020年，部會至少達到資安成熟度第三級。（攝影／洪政偉）

打造良好資安基礎，並落實資安聯防

要有好的資安基礎環境必須有法規、環境和管理，彼此相輔相成。目前資安管理法草案已經送到立法院審查，相較於美國、日本、德國、新加坡，甚至是中國等，都有相關的資安立法，臺灣資安立法進度比其他國家落後。

雖然，資安法從去年就有相關的提案，但在立法審查上，資安法仍是草案，且資安處還陸續召開其他場公聽會討論該法相關的適用細節，進度還無法加快，但因為資安法已經是各國資安競爭力的基礎，立法進度仍須急起直追才行。除了資安管理法之外，其他像是所謂的物聯網標準、驗證甚至是其他的法規調適等，也包含在完備資安法規的範疇。

因為相信，看得到風險就有辦法管，所以，除了要掌握臺灣網路的封包怎麼跑之外，連海底電纜甚至是衛星通訊等，都是臺灣重要的基礎通訊網路，必須要確保這些網路的韌性和安全性，才能夠提供安全的網路環境。

部會如果要有好的資安治理模式，資安處希望採用資安成熟度作為各部會評估資安治理能力的參考指標，首先，必須要先釐清資安角色與權責，並針對機關內的資安治理、作業流程與技術管理，以及資訊安全與認知文化等層面，制定出資安治理的架構與模型；再來，從政策與符合性、規畫推動與監督、作業與技術，以及組織與人員等總計19個流程構面，描繪組織流程於特定流程構面的狀態，也可以評審各個流程構面的能力。

目前資安成熟度分成5級，成熟度第一級基本要求就是做到有第三方驗證和內控、落實風險及安全性評鑑與管理、營運持續管理以及作業與通訊安全管理；成熟度第二級則是要求資安事故管理與緊急應變、供應商管理；成熟度第三級要做到治理架構與政策並和利害關係人溝通；成熟度第四級則希望做到資安風險監控和績效與成果監督；最高等級的資安成熟度第五級，則是要做到創新管理。希望至少到2020年，所有的政府機關都可以取得資安成熟度第三級的指標。

資安並不是單打獨鬥就可以做好的業務，不只中央政府需要關注資安，地方政府也無法忽略，因此，行政院也在前瞻計畫中的數位建設，建立跨域的資安聯防機制，以六個直轄市作為帶頭和其他地方縣市政府聯手做資安防護的機制，地方政府面對第一線資安問題，由六都協助處理，並可以結合在地資安公司合作；若無法解決，再由資安處協助處理。

再者，隨著油、水、電、交通、金融等關鍵基礎設施因為攸關民眾權益，也必須針對這些資訊基礎設施做更多的資安防護措施。最後，因為網路犯罪已經成為嚴重的犯罪議題之一，也必須透過資安鑑識等方式，協助找出網路犯罪的嫌疑人和由來。口述⊙簡宏偉、整理⊙黃彥棻