【專訪首任行政院資通安全處處長簡宏偉】用資安打造數位國家後盾

以數位國家為未來國家發展方向的新政府，在執政不到3個月內，行政院就在8月1日時，新設立了一個資通安全處，並找來過去推動電子化政府計畫和政府開放資料的關鍵人物前國發會資管處處長簡宏偉，擔任第一位資安處處長。這是一個國家級資安專責單位，甚至從英文名稱「Department of Cyber Security」都可看出資安處未來工作重心就是網路世界的資安。

科技政委吳政忠點出資安處的重要性，他說：「資安是未來發展數位國家、創新經濟的關鍵基礎，成立資安處就是第一步，今年還要推動資通安全基本法。」

因此，我們也專訪了這位首任國家級資安團隊的舵手簡宏偉，進一步了解資安處的任務，整理如下：

以往，或許很多人並不認為，國家安全和資訊安全根本就是同一件事情，但是，隨著有越來越多的服務都仰賴資訊系統，一旦因為任何的資安事件而無法提供服務，就可能導致銀行無法提款、高鐵無法行駛、政府機能停擺。這些資安事件對國安造成的影響，在在都彰顯了「資安等於國安」已經是顛撲不破的真理。

為了順應這樣的潮流，加上，蔡英文總統在520正式上任後，希望可以落實國防資安產業的政見，便在今年8月1日，正式在行政院院本部成立一個全新的資通安全處（簡稱資安處），由資安處負責國家所有的資安基本方針、政策及重大計畫、法規制定、通報應變和關鍵基礎設施的管理等事宜。

行政院以「數位國家、創新經濟」作為施政方針，並設立了資安處，除了依照行政院資安處處務規章的規定，負責資安法制以及相關資安政策研議外，也扮演部會資安的督導角色。

而資安處成立之後最重要的任務之一就是，提出資通安全管理法草案並送交立法院進行審議，務求可以在年底前順利三讀過關。

資安等於國安，正式納管關鍵基礎建設

也因為所有國家的資安現在全部都由資安處負責，資安處也必須和負責國土安全的國土安全辦公室，以及總統府下設國安會的資通安全辦公室等，都要有很好的連結和互動。

也因為這幾個牽涉國家安全的單位主管，對於國家面臨的資安風險以及威脅處理等，都相當具有經驗。所以，就比較不會出現當發生任何攸關國家安全的危機時，這些從不同角度負責國家安全的相關單位會有隱匿情資、各行其是的狀況。

以近期一部描寫攻擊伊朗核電廠紀念惡意程式Stuxnet的記錄片為例，惡意程式攻擊核電廠工業控制設備（SCADA），這難道不是國家安全、資安的一環嗎？

現在事事都跟資訊技術有關的年代，國家安全和資安，很多情況下其實是一體的，並且存在於我們日常生活中。

因為認同資安是國安一環的概念，所以，就任資安處長後，也在思考，從國安體系來看，怎麼確保從電力系統、緊急醫療、高科技園區，甚至到政府運作也正常？而資安處在成立之後，便明確把關鍵基礎設施納入業務職掌之中。

資安處是數位國家的後盾，技服中心是資安處的手腳

但這過程中，也確認了，當資安無所不在，而資安也同時是數位國家的基礎時，資安處的存在，便是扮演數位國家的後盾，而負責技術支援的技術服務中心就成為資安處的手腳，協助各個部會去落實相關的資安政策。

資安處成立後設有兩科，第一個是綜合規畫科，第二個是技術發展科。綜合規畫科非常重要，必須要有足夠的眼界和高度，也得看的夠遠，能夠設想在未來環境下，資安會變成什麼樣子？例如，十年前無法想像現在的數位環境會變成什麼樣子。

至於，技術發展科除了規範資安技術大的規範方向外，細部的規定將委由標準檢驗局或者是目的事業主管機關另外制定更細部的施行細則做規範，並負責政府共用系統的規畫和使用。

資安處做的不是單純的管制，也不是單純的防護，而是在講數位經濟和服務的同時，必須要有資安作為數位國家的基礎，否則這些服務都不夠穩固。況且談資安，不能只局限在臺灣，應該要拓展出去，如何和其他國家有好的連防機制和互動，也是資安處必須要審慎思考的問題。

推出資通安全管理法草案和各部會做溝通後，會召開座談會匯集意見，再送交行政院院會提案，希望可以在年底前，通過立法院三讀程序。                                            

——行政院資通安全處處長 簡宏偉

下達軍令狀，資安管理法務必年底三讀過關

行政院資安處也受科技政委吳政忠的督導指揮，在資安處成立之後，從科技政委開始也下達重要指令，資安處預計在8月底草擬出一個資通安全管理法的草案，並和各個部會進行討論，預計在9月會召開部會、民間企業和學界等不同單位的座談會，彙整大家意見後，再提出資安管理法草案送交行政院院會提案。

其中，在未來提出的資安管理法草案中，也將大幅修改今年2月份送交到科技部的草案內容。

例如，未來可能會制定資安處是資安管理法的主管機關而非科技部，也會取消相關行政法人的章節。更重要的是，必須要把所謂的目的事業主管機關的權利規範定義清楚，以避免不必要的濫權和擴權。

有了資安管理法之後，也可以依法行政，強制資通訊業者在面對各種產品和設備發生資安問題時，強制業者進行召回或更新，以確保在使用資訊產品時的安全性。

以近期高通晶片有漏洞，全球有超過9億臺Android裝置受害為例，如果有這樣的法律，NCC就可以根據資安管理法的規範，強制手機業者強制發布更新以確保裝置和使用者的安全性。

畢竟，以前沒有法令規範，主管機關無法被動要求法規遵循，也無法主動出擊要求業者修補資安漏洞，但當有資安管理法作為法規遵循的基礎時，預計將大幅改變既有的資安現況，可以更具有主動性和積極性。口述⊙簡宏偉、整理⊙黃彥棻