觀點

資安將是數位國家的後盾

2016 / 08 / 29
侍家驊
資安將是數位國家的後盾

企盼許久的常態性資安主管單位,『行政院資通安全處』總算在8月正式掛牌,將整體規劃及推動國家級的資安工作。

新到任的簡宏偉處長,從過去推動全民參與的開放政府的經驗中觀察到,如何確認意見的真實性、如何確認該意見不是被灌爆? 都和身分的認證有很重要的關係。而在推動 Open Data 時,涉及個資的資料如何處理、如何保護個人隱私、誰來判讀機密敏感性資料?這些的種種,都指出底層安全很重要。這些基礎如果不穩,民眾沒有信心,如果信任不足,服務的使用一定會受到侷限。

簡處長指出,我們將從傳統的電子化政府,逐漸朝向數位化政府發展。目前進入以資料為中心的第五階段電子化政府計畫,就是希望能落實數位政府服務,希望透過更多民眾的參與,建立公平的數位社會,並經由資料的使用來啟動數位經濟。過去我們的資安工作,較側重在防護、通報、應變、阻絕等。但資安應該是數位國家的後盾。有資安當基礎,才能建立安全的數位環境。無論企業或個人,也才能在這些前題下,提出各種創新服務。

所以資安處看的是『打造數位國家的後盾』。從資安辦升級到資安處,從表面看,是從臨時編制到正式組織,人員從借調到專人專責的常態編制。

從處長的角度看,是透過之前落實的通報防護演練等基礎,往數位國家踏出一大步。
從數位國家的角度看,以往政府將大部分的資源,挹注在公務單位的防護上。但是,我們還有民間以及商業經濟領域需要關注。資安處將加速推動,之前研議多時的資通安全管理法。因為,如何確保經濟社會的穩定、如何確保民間的辛苦創新不會被輕易拿走。這部分既然牽涉權力與義務,就必須透過法規來規範。

至於推動範圍與時程,將會循序漸進,初期將以關鍵基礎設施提供者為主要對象。這將涵蓋能源、水資源、通信、交通運輸、銀行及金融、緊急救援及醫療、中央及地方政府、高科技園區,共八大領域,並循序宣導上市櫃公司導入資安管理,希望資安能變為內控的一環。

資安不是讓事件不發生,而是如何管理風險、管理事件。資通安全管理法的精神是要求強化風險管理,從資產及風險的分析,來決定適當的資安投資,規劃適當的防護措施。

透過法規,更要建立民間的整體通報應變機制。將透過各事業主管機關推動該領域的ISAC (Information Sharing and Analysis Center資安資訊分享與分析中心),各ISAC再聯結G-ISAC(政府資安資訊分享與分析中心)或TWCERT (台灣電腦網路危機處理暨協調中心)、TWNCERT (國家電腦事件處理中心),讓整體民間的資安事件能有一套完整的應變機制。這樣的機制,除了更快速反應事件的處理,更可以大幅改善過去民間發生事件,求助無門的窘境。

從個資法擷取經驗,資安處在推動資安管理法同時,也著手相關執行細則的擬定,原則在母法後一季到兩季推出。即使來不及,也可以透過行政命令,確保沒有任何空窗期的出現。

談到資安的推廣,將持續強調『資安與業務的結合』。過去資安推動遇到的困難、資源不足,源於資安並不是從應用系統開發階段就納入基礎內,屬附加外掛的額外需求。讓資安工作難為,也造成在投入資源不足,今後必須更重視系統開發時的安全要求。

推動資安另一個重要因子就是人才培育。以往資訊與資安常常是互通,但現在資安已經是非傳統的資訊處理。將規劃未來,政府考試時,希望能增加資通安全類別,同時,未來政府機關希望能有專屬資安人員。民間單位一樣最好有專職人員,至於是否專職單位,則應視規模等來討論

整體資安人才培育,則希望聚焦在第一階的資安通識教育;第二階的專業能力養成,這可以涵蓋技術、學術、及各專業領域;第三階則是專業人員將進入國防、高等研究、產業(資安產業及產業資安,兩個不同面向)。未來希望能結合民間力量,推動高階資安研究的能量,並能和產業相輔相成。

透由這次的訪談,對未來國內資安環境的改善,充滿期待。希望民間的防護真的能落實、希望資安買服務能逐步改善、希望資安服務業能健康永續發展、希望國產資安產業能茁壯、希望資安從業人員能昂首闊步、希望青年學子搶著進資安領域。