行政院資安處已經於今年八月底,大幅修改舊版的資安管理法,並於九月六日舉行過第一次的各機關意見徵詢的座談會,行政院資安處處長簡宏偉表示,接下來也將在廣泛蒐集產業對於資安管理法的相關意見,預計最晚在2周內,會將該份內部討論的資安管理法草案,送到公共政策網路參與平臺(簡稱Join平臺),廣泛蒐集包括產業界對於該法的意見。
此外,針對這份資安處大幅修改過的資安管理法,簡宏偉指出,目前草案中規範了公務機關和非公務機關,都應該受到資安管理法草案的規範,一般而言,規範公務機關如何受到該法規範,並沒有太大問題,但是從舊版資安管理法草案中,多數人對於非公務機關也須受到資安管理法規範,意見頗多。
而簡宏偉也確定,新修正的資安管理法中所規範的非公務機關,將以攸關民眾安全相關的八大關鍵基礎建設保護(CIP)和關鍵資訊基礎建設保護(CIIP)的產業為主,也明確規定,未來目的事業主管機關也必須要一定的情況下,才能夠行使所謂的行政檢查權,避免政府擴權,也確保非公務機關的權益。
八大類關鍵基礎設設產業,將納入資安管理法規範
經歷過第一次對政府各機關對資安管理法的意見徵詢,簡宏偉表示,多數的機關比較擔心的內容多以執行面為主,例如,是否會新增更多的行政作業程序?是否會受到重複稽核?執行程序是否變多或變得更繁瑣?當然,也很一些關鍵基礎建設的目的事業主管機關也憂心,對於沒有具備足夠的能力落實相關的稽核程序。整體而言,他認為,政府機關對於資安管理法仍具有一定的接受度,執行面的問題可以做更多的細部討論做解決。
根據行政院國土安全辦公室提到的關鍵基礎建設的定義,可以歸納為:「國家公有或私有、實體或虛擬的資產、生產系統以及網絡,因人為破壞或自然災害受損,因而有影響政府及社會功能運作、造成人民傷亡或財產損失、引起經濟衰退、環境改變或其他足使國家安全或利益遭受損害之虞者。」而臺灣也規範了八大關鍵基礎建設的類別,包括:能源、水資源、資通訊、交通、銀行與金融、緊急救援與醫院、中央政府和高科技園區等八類。
之前,資安管理法的立法方式,仿效個資法的作法,同時規範公務機關和非公務機關,其中,負責資安管理法草案的行政院資通安全辦公室也承受許多來自外在團體的壓力,主要就是希望可以將非公務機關不必納入資安管理法的規範之中,直到行政院資通安全辦公室將草案彙整後,轉交給當時的資安主管機關科技部時,這樣的爭論也一直都沒有解決。
從簡宏偉透露的資訊可以確定,在行政院資安處新修正的資安管理法中,也站在保護民眾權益的角度,確認只要是八大類的關鍵基礎建設的產業,都納入非公務機關的規範之中;至於臺灣主要的中小企業主,之前因為擔心,一旦一般企業也被納入資安管理法的規範之後,就得另外多花費更多成本,投資在資安層面上而有所抗拒企業主,表面上也可以感到「放心」。
但事實上,企業資安一旦沒有做好,縱然公司有金山、銀山,也可能遭到像是公司電腦被植入勒索軟體後,該勒索軟體將公司所有的數位資產加密,形同公司資料「一夕被刪」,更多時候,即便屆時企業主想付贖金救回資料,也不見得能順利復原相關的數位資產時,到時候欲哭無淚的就是這些不重視資安的企業主本人。
明定主管機關行使行政檢查權的時機,避免政府擴權
除了明定只有部分非公務機關是納入資安管理法的規範時,先前遭到許多企業質疑的行政檢查權,也在修正的資安管理法中有比較明確的規範。簡宏偉認為,因為只有部分與關鍵基礎建設有關的非公務機關將納入資安管理法的規範,一旦政府或者是目的事業主管機關想要行使行政檢查權時,必須有一定的程序也要非常謹慎,避免造成政府擴權或濫權,危害一般非公務機關單位的權益。
畢竟,這些關鍵基礎射箭相關單位的系統,一旦出現任何的紕漏或者是遭受到各種大規模的攻擊等,民眾生命以及身家財產的安全都有可能會遭到損害,政府有責任主動跳出來了解事情的原委,並協助解決。
之前曾經有發生過類似的案例,就是,遠通電收ETC宣稱在三小時內,遭到駭客82億次的攻擊,導致系統無法提供相關服務。當時擔任政務委員的張善政則主動介入相關事件的調查,當時遠通電收自認為是一般民間公司,政府不應該調查,該公司也無須在遭到攻擊時,主動通報相關的主管機關。
但是,當時張善政則認為,遠通電收屬於政府提供的交通類別的服務,ETC一旦出包,將嚴重危害數百萬名用路人的權益,政府應該主動介入。若以八大類關鍵基礎設施的分類來看,遠通電收ETC雖然是民間企業,但因為系統的安全與穩定的確影響許多民眾的權益時,的確應該納入政府的資安通報範圍中。
前朝政府要求相關關鍵基礎建設相關的非公務機關一旦遭到資安攻擊時,都必須主動跟主管機關進行資安通報;但到了資安管理法的立法時,則對相關單位有更嚴謹的規範,除了原有的資安通報外,甚至應該有的資安防護和通報應變機制以及資安事件處理等規範,都必須要能夠與公務部門一致。
此外,簡宏偉指出,進行機關意見徵詢時,也邀情法規會和法務部針對新版的資安管理法草案做意見徵詢時提到,目前對於行政部門想要行使行政檢查權,政府在相關的行政裁罰法中已經明定相關的行政檢查時機和過程等等,不見得需要明定在資安管理法中。
由於目前的資安管理法草案已經初步徵詢機關意見,接下來,如何匯集產業對於該法的建議才是該法能否成功的關鍵,簡宏偉也預計在2周內,將該法的草案內容放在公共政策網路參與平臺中,徵詢更多人的意見。
上週(8/28~9/3)重要資安事件回顧:
※蘋果修補已遭鎖定的Safari及OS X漏洞
※Dropbox 2012年遭駭,6,800多萬帳號密碼外洩
※Mac用戶當心! BT程式Transmission再被植入惡意程式
※報導:孟加拉央行資金遭盜轉已半年,SWIFT警告會員新一波攻擊來襲
熱門新聞
2024-12-27
2024-12-24
2024-11-29
2024-12-22
2024-12-20