@文/謝誼萱
政府整個資訊政策走向、資訊相關法規研擬與行政院資通會報提出「建立我國通資訊基礎建設安全機制計畫」執行成效,立法院科技資訊委員會不僅負有監督與審查預算之責,更代表多數民眾提出興革建言,增修及制訂符合時宜之資訊法規。本刊專訪立院科資委員會龐建國、周雅淑、王鍾渝三位委員,釐清國家資訊安全主管機關層級、組織架構、預算編列合理化、資安法規增修與研擬等問題,做深入探討。
催生主管機關 NCC受矚目首先在資通安全會報組織層級、功能與釐清國家資安主管機關議題上,龐建國認為,目前資通會報層級拉得很高(由行政院副院長林信義擔任總召集人,蔡清彥政委擔任執行長、部會首長北高市長擔任委員),但是這些「資安高層」並沒有資安專業背景更談不上專家,實際上是幕僚作業,象徵意義大於實質意義,另外;資通會報屬臨時任務編組,本身沒有預算分配權。所以他建議,未來找一個「有錢、有人」的單位來接手較恰當,他覺得由研考會接手資安業務最適合,因為研考會有考核公務機關、公務員績效的權責,本身又有預算分配權,對推動屬於跨部會的資訊安全業務會有助力。「未來政府組織改造後,將成立三個跨部門委員會,其中國家發展委員會、科學技術委員會都有可能將資安業務納入,但是政府組織改造不是短期內可以看到的,所以最理想做法還是在現有體制中,找到真正有權責的資安主管機關,其實層級不需要太高,重要是要懂資安防護,例如研考會資訊處。」龐建國重申對資安主管機關的看法。
周雅淑則認為,資安管理層級應該拉高到總統府體系下,另設一個獨立單位來負責,因為資安是跨部會問題,事涉到國防機密及國家安全,不能有任何漏洞。至於立院目前積極推動廣電三法修法,其中通信傳播基本法將設立國家通信傳播委員會(National Communications Commission,簡稱NCC),接手新聞局業務及電信產業監理管制業務,NCC不受行政院管轄,可能是資通安全的主管機關。王鍾渝也預測,未來可能會將資安業務會併入NCC組織中。周雅淑補充說明,「NCC可能成為電信與廣電領域的巨獸,如果又加入資安業務,後果令人質疑,目前NCC職掌範圍並未確定,是不是把資安業務納入還有討論空間。」
推動資安法規 朝野聯手合作
以法律與規範手段解決資訊安全的問題已是大勢所趨,網際網路提供相當多的便利,但也衍生了嚴重的電腦入侵問題,全球正為著充斥電腦駭客(hacker)而苦。輕者造成使用者和維護者的不便,重者可能會威脅國家安全。談到資安相關法規增修與草擬,王鍾渝、周雅淑、龐建國等人成立的跨黨派「數位匯流聯盟」(4C匯流立法推動聯盟,4C即3C+Content)在《著作權法》修正上有許多著墨,下會期持續推動修正《廣電三法》;周雅淑指出,《刑法》增加「防駭條款」,使未來駭客及惡意行為將被施以刑責;通過的刑法三十六章電腦網路犯罪修正案中,將無故入侵他人電腦、取得或刪改他人電腦或電磁記錄、駭客發動攻擊癱瘓網路以及製作病毒、以電子郵件將他人郵件信箱灌爆等行為處以刑法。 而入侵政府及公務機關的電腦系統,則因可能造成國家機密外洩、危及國家安全,前述的駭客行為將被加重刑罰二分之一。至於,八十四年通過電腦處理個人資料保護法,對於個人資料定義並不含電話及傳真,以及規範的產業範圍過小,只對徵信業及醫院、學校、電信、金融、傳播等行業規範,再加上必須舉證才成立,確認後罰款了事,無法產生防範作用,法務部正著手修法,目前已完成草案在徵詢各界意見中,預計年底送至立法院審議。另外,在九十一年四月實施的電子簽章法,目前暫無修法計畫。
全球郵件傳輸量中,垃圾郵件佔了五成以上,而且以每年十倍的速度成長,高達百分之九十六網友都曾收過垃圾郵件,而垃圾郵件更讓合法的企業一年損失超過九十億美元;據中華民國網路消費協會調查,台灣網友每天平均要花近七分鐘處理垃圾郵件,估計一年耗費兩億多小時與高達六百多億的成本在垃圾郵件上。下會期三位科技立委同聲,將全力推動反垃圾郵件法(馮定國提出),新聞局也正著手提出網路內容管理法規(類似電視分級制度),他們也將視未來提出草案,再決定是否另外提案。
附表一:政府機關資訊應用相關法律 |
- 刑法防駭條款
- 電子簽章法
- 電腦處理個人資料保護法
- 國家機密保護法
- 檔案法
- 著作權法
- 行政資訊公開辦法
- 行政院及所屬各機關資訊安全管理要點
- 機關公文電子文換作業辦法
|
附表二:數位匯流聯盟簡介
資訊委外得失 補強留住人才
創新資訊科技將成為決定各國經濟競賽的關鍵因素,工資不再是決定競爭力唯一考慮因素,一個國家的競爭力的決定因素,將是資訊科技人才、知識資本、創新能力。當年政府從資訊資源整合運用的觀點,認為每一機關設置自己的電腦中心,維護自己的系統,設置機房,不符合經濟效益值得評估。所以不得不採資訊整體委外的方式運作,讓民間業者可以發揮企業化的管理效益,整合軟硬體資源及提供必要的人力資源。整體而言,將可以使政府以更低的成本得到相同品質服務,或是以同樣的成本得到更好的服務。於是,行政院八十七年通過「所屬各機關資訊業務整體委外作業實施辦法」實行至今,成效雖然見仁見智,對引進民間新觀念與技術、扶持國內資訊產業發展、節省資訊人事經費等方面,有人叫好;但也衍生出資訊人才流失、政府資訊門戶洞開、機關機密外洩風險提高等問題。
針對資訊委外身陷進退兩難困境,王鍾渝提出獨道見解,「政府僵化體制無法與民間資訊業福利侍遇相比情形下,要留住好的資訊人才,有必要好好規劃國防替代役男,政府資訊單位可以提供一年義務役,再以三至五年高待遇來招募有志從事資訊科技行業的替代役男,加速政府積極電子化的目標。如果可行,對提高政府行政效率及招募資訊人才會有很大幫助。」
龐建國認為,「政府機關普遍都有資訊人員不足的現象,當初政府資訊委外服務精神是好的,但如果演變至政府內部缺乏專業人員,甚至人才斷層,如何制衡廠商及檢驗資安服務品質呢?這個議題政府應再做通盤檢討。」周雅淑則認為,「目前較折衷的做法為,集中力量做好A、B級政府資訊安全工作,包括人員及克服技術上問題,避免政府資訊人員閉門造車,可透過委外服務措施引進民間新觀念與技術,提供更符合民眾需求的軟體,增強政府與民眾在數位時代的溝通工作。」
數位險誠可貴 安全性價更高
資安管理其實也就是風險管理,風險不能為零,如何以社會險的方式,提供最後一層保障,以建立有效信任機制,如此保險機制在日本已有立法通過案例,未來國內可能透過立法推動嗎?三位科技立委都認為這是一個很好的構想,但是要推動立法工作,恐怕不是短時間可以完成,其中還必須等保險業者、政府機關等使用者、資訊廠商都有共識與認知後,立法條件成熟後才可能推行。
王鍾渝認為,「資訊安全有兩個層面必須分清楚,一為純商業價值的資安,其價值可以估算,用保險來承擔最後風險,損失可轉換為金錢賠償,是可行的; 但談到國家資訊安全,與國防機密、人民利益、隱私權有關的安全問題,如果發生資安外洩事件,賠錢是沒用的,這部份就必須盡力做到零風險,不惜任何代價一定要做到,保險機制對國家資安防護沒有太大意義。」龐建國則認為,最難在鑑價及評估風險率問題,他以數位產業鑑價貸款融資為例,如何精準估算數位資產真正價值後才能談保險問題,所以從這層面看,推動資安保險立法前必須先有一套鑑價制度及規範。周雅淑也同意在保險業者有意願將數位資產列為標的物、社會普遍接受資安投保觀念後,再談修法或立法。
「應有一個機關負責將國家資訊做分級,那些須要保密?那些須要公開?訂定機密資訊等級,對絕對不能外洩機密資訊全力做到防護,對可防止貪?弊案必需透明化資訊立即公開,資訊分級管理政府刻不容緩」王鍾渝期待未來資安主管機關確實做到國家資訊分級管理。
取法他山之石 兩派看法互異
美國政府2002年9月18日發佈國家網路安全策略(The National Strategy to Secure Cyberspace ,NSSC)使資訊安全的世界向前邁進一大步。國家網路安全策略是保護個人與組織資訊資產安全的行動,不帶有法律的強制性,它需要的是有意義之自發性投入。美國總統布希隨著 九一一 恐怖攻擊以快速行動保護美國的資訊與通訊基礎建設,建立「重要基礎建設安全告示版」 ( Critical Infrastructure Protection Board )並發佈公私夥伴關係以建立NSSC以保護網路世界。接著在 2002 年 9 月20 日發佈「國家安全策略」( National Security Strategy。這是美國唯一也是首要的核心策略文件,且為輔助的策略如國家軍事策略( National Military Strategy )及國家本土防禦策略( National Homeland Defense Strategy )的基礎工程奠定基礎,其中 NSSC 是用來實施 NSS 的。針對國內部分專家學者建議政府部門向美國取經,可先組考察團赴美觀摩,再引進美國的資安策略與相關法條,作為未來國內調整資安施政之參考。
「沒有見到美國全貌,學到的只是美國的一小部份,常常會學得不像樣,就好比拿美國建築師的設計圖到台灣的沙灘上蓋房子,房子不垮才怪!美國法律是以美國人民之素養、道德觀、文化背景等因素整體考量下制定的,不是拿到國內就可比照使用的。」王鍾渝對引進美國資安作法表示憂心。周雅淑則持樂觀態度看待取法美國一事,她認為,政府資安成敗可以從人才、政府魄力、財力、機關需求四個面向去努力,如果國外有可供參考的範例,主事者可以公開資訊讓國內專家學者共同討論,再決定是否採行。
|