觀點

企業該知道的資安相關法規(下)

2004 / 11 / 12
高國庭
企業該知道的資安相關法規(下)

惱人的垃圾郵件管得了?
根據立委陳建銘於93年6月發表的統計調查結果,台灣儼然已成為「垃圾郵件運籌中心!」接受調查訪問者每天收到的電子廣告郵件平均為42.2封,平均每天要花7.94分鐘處理垃圾郵件。這些垃圾郵件往往遲滯收件人閱覽重要郵件的時效,甚至灌爆郵件信箱讓正常郵件進不來。

除了台灣垃圾郵件氾濫之外,美國及中國大陸同樣也深受其害。根據反垃圾郵件組織Commtouch的調查,全球有55.6%的垃圾郵件來自美國,而韓國及中國分別以10.23%及6.60%的比例名列二、三名。雖然愈來愈多郵件服務主機能過濾特定垃圾郵件,如色情DM、網路直銷DM、詐騙郵件等,但成效有限,因為這些垃圾郵件的派送者會利用郵件過濾器的規則漏洞,例如有些垃圾郵件刻意在郵件主旨欄位留白,或是在郵件主旨內容採用隨機字元來增加郵件過濾的難度,因而仍能夠穿透一層層的過濾規則送到你的郵件信箱裡,等您休假或出差回來才發現信箱早就爆掉了。

全球多個國家已針對垃圾郵件立法管理,例如美國已制訂CAN-SPAM Act of 2003。台灣也出現因應世界趨勢,立法規範不請自來的垃圾郵件的聲音,在數位立法委員的鼓吹下,多家ISP及網路郵件業者像是中華電信、Seednet、Yahoo!也參與討論垃圾防制的議題。該草案參酌美、歐、及日、韓等國管理法令制定而成,共有十五條,內容包括對廣告主、發信人的規定,例如廣告信件之傳送,未經收信人事前同意不得為之。發信者應於訊息主旨欄,加註一定足資辨識其為廣告信件之字樣或特殊標示;信件並應賦予收信者拒絕再接收(opt-out)其廣告訊息的機制。郵件收信人對於違法寄信之行為可以要求停止。因此受損害者,得向廣告主及代發信件之業者請求損害賠償。ISP等服務供應商若因垃圾信件濫發產生損害,亦得請求損害賠償。如果不易證明其金額,得請求法院依所收取之違法電子訊息數量,以每封新台幣2,000元以上,5,000元以下計算,酌定賠償額,還可要求「加害人」負擔訴訟費用。

除了對發信人、廣告主之外,草案也對ISP賦予責任,例如ISP應建立垃圾郵件訊息的資訊蒐集、反饋及處理機制,並對ISP的名稱、網址或網域名稱、以及發信者的相關資訊加以紀錄,以便在適當規範之程序及條件下作為垃圾郵件之處理用。而由於考慮到日、韓等亞洲國家簡訊廣告危害也日益嚴重,因此這個草案版本也較之前版本增加對手機簡訊的規範。

國家通訊傳播委員會(NCC)籌備處和電信總局亦研擬完成另一「濫發商業電子郵件管理條例」草案,明訂未來寄發商業電子郵件,必須提供收信人選擇不再接收相同信件的機制,並在郵件主旨欄加註「商業」、「廣告」或「ADV」的標示,以及提供正確的信件資訊和發信人的身分資訊及郵遞地址。NCC籌備處表示未來不排除比照美國,協調相關團體建置全國性拒絕商業電子郵件位址的資料庫,供民眾自行註冊,業者在寄發電子郵件前必須到資料庫確認,收信人名單是否有已經註冊拒收商業電子郵件的人,並提前剔除。(註七)

電子簽章文件可以作為正式文書?
政府為了要推動電子金融服務發展、擴大電子化政府領域的應用範圍,並且能突破過去法律對於書面及簽章相關規定的障礙,藉著電子簽章法的規範來賦予電子文件合法地位,使電子簽章可比照實體書面、簽名蓋章之效力,也同時妥善保障消費者的權益,並在90年11月14日公佈電子簽章法。

電子簽章法不僅適用於政府機關、私人企業,也適用於個人的電子通信及交易行為,任何公私領域的電子通信及交易行為,只要涉及電子文件及電子簽章,都可適用。電子簽章法規範重點包括確定電子簽章及電子文件之法律效力、建立憑證機構之管理制度及主管機關之權責、律定憑證機構及使用者之法律責任與義務等,依據政府憑證管理中心公告之相關資料(註八),分別擇要說明如下:

(一) 確定電子簽章及電子文件之法律效力
傳統書面文件的功能,皆可利用現代資訊及通信以電子方式製作、呈現、保存及傳送,為使電子文件能廣為各行各業應用,減少書面與電子作業並行之不便,以充分發揮數位化及網路化作業之效益,爰規定依法令須以書面文件製作者,得以電子文件行之。以電子文件取代書面文件,必須要滿足兩項條件,一是電子文件能夠完整呈現書面文件的內容;一是在日後能夠驗證電子文件真偽。只要能夠符合上述兩項要件,皆可以電子文件取代書面文件。所以,除了生命、重要財產及其他重要權益事項以外,其餘的書面文件都可以電子文件取代。

(二) 建立憑證機構之管理制度及主管機關之權責

政府對於憑證機構採取「志願性的」證照管理制度,促使憑證機構的專業能力及管理能力,可以提供民眾安全及可信賴的憑證服務。憑證機構之管理制度可概分「強制性」或是「志願性」的證照制度兩種。強制性的證照管理制度規定凡未取得政府主管機關核發的營業執照,不得對外營業。「志願性」的證照制度是政府只規定一個標準,透過適當的誘因(例如:其所簽發憑證的證據力)鼓勵憑證機構申請執照。

憑證機構對外公告「憑證實作準則」,陳述憑證機構如何簽發憑證及處理其他認證業務之作業準則(一份政策聲明文件)。例如說明憑證機構的技術、安控措施、憑證的使用範圍、憑證的效期、憑證註銷及中止程序等,憑證註銷清冊、憑證註銷清冊如何公佈等資訊,俾供使用者判別憑證機構的專業技術能力及管理能力,並據以作為判別法律責任歸屬的依據。使用者在與對方進行通信或交易對方時,首先必須確定這一張憑證是由哪一個憑證機構簽發的憑證、確定簽發憑證的憑證機構它本身的公鑰憑證是否有效(有無被註銷),並且確定對方的憑證效期,而最重要的是要到憑證機構對外公佈的「憑證註銷清冊」查詢這一張憑證是否已經被註銷。(類似查詢信用卡是否被註銷)如果檢查無誤後,就可確認。

我們公司需要做資通安全檢查嗎?
台灣的上市上櫃公司這麼多,每一家公司或多或少都有使用資訊設備,公司重要的資訊資產那麼多,這些公司的資訊環境內部控制都沒問題嗎?我所投資的公司營業祕密會不會外洩給同業公司?這家公司會不會因為遭火災而燒掉重要資訊資產無法復原營運?

財政部於91年11月18日修訂公告「公開發行公司建立內部控制制度處理準則」,該準則要求所有公開發行公司(含上市上櫃公司)都必須建立必要的內部控制制度,如果公開發行公司有使用電腦化資訊系統,其內部控制制度除資訊部門與使用者部門應明確劃分權責外,至少應包括下列控制作業:

一、資訊處理部門之功能及職責劃分。
二、系統開發及程式修改之控制。
三、編製系統文書之控制。
四、程式及資料之存取控制。
五、資料輸出入之控制。
六、資料處理之控制。
七、檔案及設備之安全控制。
八、硬體及系統軟體之購置、使用及維護之控制。
九、系統復原計畫制度及測試程序之控制。
十、資通安全檢查之控制。
十一 、向本會指定網站進行公開資訊申報相關作業之控制。

其中在第10項對於資通安全檢查之控制,其檢查實務可參考中華民國電腦稽核協會之「資通安全公司自我檢查表」,該表共計57項控制條款,檢查項目包含10大類,如資訊安全政策、建立資訊安全組織、人員安全與管理、資產分類與控管、實體及環境安全管理、通訊與操作管理、存取控制、系統開發與維護、永續經營管理、內部稽查及其他等10類,以上檢查項目均可由各公開發行公司依據檢查表內容自行執行資通安全檢查。如公司內部檢查結果發現有缺失事項,則應訂定改善行動計畫,並追蹤執行成效。(註九)