背景圖片來源/Photo by eskay lim on Unsplash

隨著國內對於資安重視程度越來越高,甚至於連政府資訊服務採購,也都透過作業指引和資安一覽表的方式,要將資安規範納入採購合約中,原本的《資安法》對於公務機關及特定非公務機關,對其資安規範不足的盲點,越來越顯而易見。

再加上近幾年來,公務機關和特定非公務機關也陸續爆發幾起重大資安事件,也使得各界對於資安法修法的呼聲越來越高。

事實上,《資安法》原先就有規定,公務機關要設置資通安全長,由機關首長指派副首長或適當人員兼任;但對於特定非公務機關,只規定要設置專職的資安人員而已。

而為了拉高特定非公務機關的資安治理層級,《資安法》此次的修法草案新增第二十三條規定,「特定非公務機關應置資通安全長,」可以由特定非公務機關的代表人、管理人、其他有代表權人或其指派的適當人員擔任,而此人的主要任務就是:負責推動及監督機關內資通安全相關事務。

定義特定非公務機關的範圍

《資安法》主要規範的對象,包括公務機關及特定非公務機關,其中,該法定義的公務機關,除了中央和地方政府之外,這次修正草案特別明定行政法人(例如今年1月成立的資通安全研究院)也是屬於公務機關的範圍,但是不包括軍事及情報機關。

至於特定非公務機關的涵蓋範圍更廣,根據《資安法》的定義,則包括:關鍵基礎設施提供者、公營事業或特定財團法人。

所謂的關鍵基礎設施提供者,是由行政院國土安全辦公室公告的能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八大關鍵領域中,相關業者所提供的服務,一旦全部或部分中斷,會對國家民生經濟造成重大衝擊或影響的關鍵服務提供者,就是關鍵基礎設施提供者。

像是:電信業者的中華電信、台灣大哥大,以及遠傳電信等,都是主要廠商,他們就是通訊傳播服務領域中重要的關鍵基礎設施提供者。

至於其他特定非公務機關,公營事業則包括中油、臺水、臺電、中華郵政等;以及特定財團法人,像是支援通訊傳播、資通安全監理及相關技術與產業發展研究的「電信技術中心」等機構,這些都是《資安法》定義中的特定非公務機關。

要求特定非公務機關設資安長,接軌上市櫃公司資安要求

在此次《資安法》修法草案內容中,除了原先要求特定非公務機關要設立資安專職人員的條文不變,更直接新增第二十三條,明定「特定非公務機關應設置資通安全長,負責推動及監督機關內資通安全相關事務」。

這樣的法條修正方向,也符合金管會為了強化上市櫃公司的資安管理機制,而修正的《公開發行公司建立內部控制制度處理準則》。

在該準則當中,要求實收資本額達新臺幣100億元以上、前一年底屬臺灣五十指數成分公司,以及主要經營電子商務媒介商品或服務之上市(櫃)公司,都要在2022年底之前,指派資訊安全長並設置資訊安全單位(包含資訊安全專責主管,以及至少2名資訊安全專責人員)。

而其餘上市櫃公司,除最近3年稅前純益連續虧損,或最近1年度每股淨值低於面額者外,應於今年(2023)年底前,配置資訊安全專責主管及至少1名資訊安全專責人員。

由此可見,《資安法》修正草案中,新增「特定非公務機關要設立資安長」所呈現的條文修正方向,也和實務上,金管會對於上市櫃公司的資安治理要求方向一致,這也讓適用《資安法》所管理的公務機關,以及特定非公務機關,未來在相關的資安治理上,也能接軌上市櫃公司的資安要求。

將設立資安專職人員的作法,從行政命令提升到法律位階

過往,根據「資通安全責任等級分級辦法」應辦事項的規定,機關的資安等級分成A至E級,其中,要求A級機關設置四名資安專職人力,B級機關置二名資安專職人力,C級機關置一名資安專職人力。

但是,《資安法》修正草案中,不論針對公務機關(第十八條)、關鍵基礎設施提供者(第二十條)和關鍵基礎設施以外的特定非公務機關(第二十一條),都明定要依據相關的資通安全等級,設立「專職」的資安人員。

也就是說,以往按照相關的行政命令,要求機關和特定非公務機關都要依據資安等級設置專職資安人員,因為是由行政機關自行訂定的行政命令,雖可作為法律的補充,但在牴觸法律者無效的情況下,為了讓專職資安的設立真正落實法制化,因此,在此次修法草案中,便將過往以行政命令規範的專職資安人員設置規定,全部列為此次的修正法條中。

資安專職人員是指:全職執行資通安全業務者,所以,如果是把資安的任務分散在不同人的身上,無法達成專職專人的設置目的,所以,機關應指定專人全職執行資通安全業務。

而且,專職人力配置的要求是以「機關」為單位,不僅資安人力不能共用,其他關於資安證照的計算,也都必須以機關作為單位分開計算。

應定義何謂資安專人專職,不應以考試維持證照有效性

不過,在公共政策網路參與平臺「眾開講」中,也有網友對於資安專職人員的定義提出不同意見。

例如,在修正草案第二十一條當中,要求關鍵基礎設施提供者以外的特定非公務機關要設置資安專職人員,有網友質疑這項要求,他們認為就連公務機關都做不到的事情,為什麼要求非公務機關去做?

另外,也有網友表示,「專人」是人要專,這個工作非他不可,不可以找別人來做;「專責」是責任要專,只能負擔這個工作的責任,不能負擔別的責任;「專職」是職務要專,也就是只能做這個職務,不可以做別的職務。

但該名網友認為,「專職」人員跟「專責」人員的,差異在於:對資安工作投入的程度不同,前者是指全職辦理資安工作的同仁,後者則是指定專人負責辦理資安工作,但資安工作可以是該專責人員的兼辦業務之一。

一些網友認為,《資安法》修正草案雖然明文規範「設置資安專職人員」,但這個專人的設置是可以由主管指定,主管今天想指定誰,誰就是專人專職,才不管該職務是否為法定。

若依「資通安全責任等級分級辦法」的定義,「專人」、「專職」兩者是一致的,無須區別;如果是得由他人「兼辦」的資安業務,何者可以兼,何者不能兼,所以,網友建議,應該可將人的角色及資安業務等項目,再做更明確的規範。

此外,「眾開講」平臺上也有網友認為,只設置一名資安專職人員的C級機關,其實是最可憐的,他們的工作內容不僅包山包海,更是資安加個資全餐吃到飽,所謂的「專職人員」只是口號而已;若是位居教育部底下的單位,每兩年就要進行一次稽核計畫,更是文職薪水卻身負技術職工作,難怪人才難覓。

資安署職責不應只有看報告

對於資安署所扮演的角色,眾開講網友也提出質疑。因為修正草案第二十一條第四項規定,為了便利資安署掌握全國資通安全現況,所以特別明文要求,中央目的事業主管機關應依資安署指定的方式,將關鍵基礎設施提供者以外的特定非公務機關稽核結果及改善報告,送交資安署。

該名網友表示,資安署只負責管考,負責看稽核結果和改善報告,但是,資安署對於這些特定非公務機關,可以提供什麼樣的協助呢?資安署是否應該從國家資安總體的考量下,協助相關單位做好資安,而不是只想著管考、寫報告而已。

因為資通安全人員的專業知識技能,與公務機關資通安全防護能量有密切關係,為強化並提升公務機關資安專職人員的職能,也於修正草案中第十八條明定,「資安署應妥善規畫推動專職人員的職能訓練,增進其資通安全專業知識技能。」

「眾開講」平臺上面的網友也提到,政府的資安專職職能訓練,每三年要再考試一次,但這種每三年舉行一次考試的作法,其實,與許多國際證照維持證照有效性的作法並不相符。

該網友希望資安署可以參考國際資安證照的作法,在資安人員於取得證照後,透過持續訓練或工作的方式,以維持相關證照的有效性,而不是要求一直考照。他最後也質疑,資安署內長官們,是否也都具有相關的政府資安職能證照呢?

《資安法》修正草案重點之二的條文內容
【第十八條】 
公務機關應符合其資通安全責任等級之要求,設置專職資通安全人員,辦理資通安全業務及應變處理;資通安全業務績效評核優良者,應予獎勵。
資安署應妥善規劃推動專職人員之職能訓練,增進其資通安全專業知能;遇有重大資通安全事件,資安署得逕予調度各級機關資通安全人員支援之。 
前二項人員調度支援、績效評核、獎勵及職能訓練相關事項之辦法,由主管機關定之。

【第二十條】 
關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,設置資通安全專職人員,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。
中央目的事業主管機關應綜合考量所管關鍵基礎設施提供者業務之重要性與機敏性、資通系統之規模及性質、資通安全事件發生之頻率、程度及其他與資通安全相關之因素,定期稽核其資通安全維護計畫之實施情形。
關鍵基礎設施提供者之資通安全維護計畫,應向中央目的事業主管機關提出改善報告。
中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。

【第二十一條】
關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,設置資通安全專職人員,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
 中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。
 中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。
中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。

【第二十三條】
特定非公務機關應置資通安全長,由特定非公務機關之代表人、管理人、其他有代表權人或其指派之適當人員擔任,負責推動及監督機關內資通安全相關事務。

 相關報導 

熱門新聞

Advertisement