資通安全管理法自今年元旦上路,已經一個多月,對於臺灣資安法規的實施現況,是民眾關注的焦點,而隨著國際間針對華為與中製設備的爭議持續延燒,在此局勢之下,是否也能促進臺灣網路、資安設備自主研發腳步,並獲取躍上國際舞臺的機會,同樣值得注目。14日,行政院資安處副處長徐嘉臨在一場立法委員許毓仁舉辦的公聽會上,揭露了目前的執行進度。
基本上,在資通管理法細節的子法於去年11月發布後,今年1月1日已經正式施行。對於施法前後的差異,徐嘉臨簡單說明,過去政府在資安防護的要求上,規範屬行政命令位階,在資安管理法施行後,現在提高為法令之位階,因此針對納管機關有一致化、標準化之規範。
此外,過去偏重在公務機關,現在納管範圍擴大,增加特定非公務機關,也是比較不同之處,此外,還有在管理面、技術面與政策及整合面的改變。
在執行進度方面,對於公務機關資通安全管理,現以要求依照資通安全責任等級分級辦法,訂定事前的資安維護計畫,以及提出事中的實施情形,在管理面上,還包括要求配置資通安全長,以及增加資安專職人員的人數配置。至於具體完成日期,徐嘉臨指出,目前各公務機關將在2月底前完成相關程序,送交立法院備查。
值得一提的是,在資安管理法納管對象中,分為公務機關與特定非公務機關,其中後者又分為三類,包括關鍵基礎設施提供者、公營事業,以及政府捐助的財團法人,徐嘉臨指出,由於關鍵基礎設施涉及到一些私部門,而關鍵基礎設施認定與指定的程序,是在資通安全法正式實施後才開始進行,因此相關作業流程還在進行當中。因此,對於關鍵設施提供者的納管,預計要到今年7月1日才會開始實施。
至於各部會資安預算方面的問題,之前在數位前瞻與科技預算,政府已經投入相關資安經費。不過徐嘉臨也表示,具體預算數字還沒有出來,但在現行計畫中,機關將依據不同額度投入相應的資安的經費,例如,一億元的經費需投入5%或更高。
對於資通安全管理法的施行,重點在於資安是持續精進的風險管理,徐嘉臨並認為,每個機關都應該把本身的資安風險辨別出來,如果做不到,就是要強化辨別資安風險的能力。關於法規要求的資安專責人力,其實也必須是要接受訓練並取得證照,而目前也有資安服務團,在各部會協助他們配合資安管理法。
此外,關於通訊軟體安全,在資安管理法訂定之後,目前資安處也正重新檢討整個政府機關內部資訊與相關的規範,通訊軟體就是焦點之一。
談到產安產業發展的願景,依照國家政策在這方面的規畫,是希望建立立全球資安產業創業基地,並打造臺灣產業優質安全品牌,同時,徐嘉臨也點出一些新的近況。
基本上,資安產業發展分成四大目標,包含人才培育、媒合國內供需、實測產品安全與行銷國際的面向。其中,在人才培育方面分成產業與學校兩大部分,她指出,產業資安人才已有經濟部投入資源,關於學校資安人才的部分,今年教育部也同意成立更多資安研究所,而未來資安處希望建構完整的資安學院來帶動發展。
關於媒合國內供需市場方面,資安處希望政府機關提高產品的自有率,未來將輔導臺灣的資安產品上架到共同供應契約,方便政府單位採購,就長遠面向來看,期望機關能有更高的訴求,讓公部門使用國產比例拉高到80%。
(點擊放大)
繼續閱讀:資安預算比例提高成立委關注焦點
熱門新聞
2024-11-18
2024-11-12
2024-11-20
2024-11-15
2024-11-15
2024-11-19