強化既有組織,導入嶄新觀點
網際網路成長速度非常驚人,先進國家都將資訊安全列為重點工作要項,因此資訊安全的重要性早已凸顯,但資安環境總會隨著時間產生變化,因應之道自然產生不同程度的改變,資通安全會報在完成第一期階段性任務後,將於原有體制中加入新元素來做調整,林政務委員表示,資通安全會報第二期工作將先從組織層面做變革:
其一、為了精進「通報」和「應變」的功能,從原先兩者分別執行的方式,未來將整合為一,其目的就是要強化即時反應、有效處理與資訊分享。
其二、將資料蒐集作為強化,注入更有系統性的分析;由於以前被認為特殊的資安事件,往往單一處理,可是資安環境轉變非常快速,必須建立系統性分析來觀察變化趨勢,以期事前防範。
其三、鑒於網路犯罪日益嚴重,將原本名稱上著重在偵處功能的網路犯罪小組,改為法規偵防組,以強化未來在法規不足的部分予以增、修的角色,以符合當前資安需求。
最後,有關於資安體系的強化,除了國家資通安全會報的政策必須持續推動,如何將維護資安所需的資源有效投入每個單位也至為重要,對此,已推動責任制度並設立「CISO資訊安全長」,由各部會的副首長擔任,而此一構想已經由行政院核可,唯有各機關首長體認資安防護的重要性與急迫性,肩負起建立責任制度的使命,投入資源確實做好資安防護工作,國家整體資安防護才有保障。
值得注意的是,一~三項組織變革是將原有體制內相關資安措施做深度的強化,以配合當前資安事件的不同狀況。對於最後一項而言,林逢慶指出,資安事件根本原因仍在於『人』,如果能從人的方面建立起有效的資安觀念,就可以免於許多資安事件的困擾,因此由部會副首長來擔任資訊安全長,至少可以讓各部門人員更重視資安工作,而這樣的理念如果能夠落實於政府之外的每個企業機構,相信未來資安防護工作的進展將更為順利。
邁向第二階段的具體方針2005年資通安全會報的組織架構既然已做調整,當然也將被賦予不同程度的安全任務,而此一轉變究竟有何具體作為?對未來又會產生何種指標性作用?相信是大家所關注的議題,由林逢慶談話所彙整以下內容描述中,就可約略看出台灣未來四年資安發展的端倪:
■強化資安事件『通報責任』及危機應變體系,資安事件通報應由各單位負起「責任」,同時這也是「義務」。以往有些單位發生資安事件,能夠自行處理解決的可能就不通報,這樣往往喪失對事件的全面掌控力,甚至喪失回溯追蹤的機會。同時將強化各單位自身應變處理的能力,而不是被動等待技服中心的協助。
■「推動無線網路安全管理制度和ISP業者自律機制」,隨著網際網路持續發展,間接也促成資訊通信科技運用的快速進步,可是網路犯罪的風險也相對提高,為了保障網路使用者權益,ISP業者應善盡社會責任協助客戶做好防制措施。
■「推動國家重要基礎建設的資通安全作業」,第二期重點工作所涵蓋範圍除政府機關,同時也將擴及國家重要基礎建設機構(含國營事業及民營業者);而國家重要基礎建設則可分為政府體系、國土安全體系、金融服務、能源設施、供水系統、電信郵政、交通運輸、及醫療保健等八大類。
■「推廣資通安全認知和人才培訓」,大眾往往將安全焦點放在駭客攻擊行為,卻忽略很多威脅來自於企業內部,以美國2003年FBI調查資料顯示,資安事件發生在組織內部的威脅約佔75%,而目前資安人才不足也成為各國共同問題,因此必須強化各單位內部人員資安認知和資安專業人才培養。
■「導入國際安全標準已成為未來潮流」,目前台灣已完成27種資通安全相關國家標準(包括資通安全產品驗證、管理系統驗證、管理系統認證及資安技術相關標準等),且已有32家公、私機構取得BS7799認證,成果排名全世界第5名,這都顯示台灣重視相關認證標準,而導入認證儼然成為台灣資安工作的一項重要指標。
2005重點推動工作要項面對2005年的來臨,及國內外各種潛在的資安威脅,國家資通安全會報已擬訂相關措施。林逢慶表示,除了延續上述國家資通安全會報第二階段相關具體方案,針對2005年資通會報將採取更積極的態度來解決資安問題,具體方案如下:
一、「強化政府機構自我防護體系」,除了將確實執行副首長身兼資訊安全長一職,以增加內部人員對於資安的重視,林逢慶更指出,過去只要將資安事件處理完成,各單位就沒有向上提報,為了有效掌握資訊安全各類狀況,未來不論狀況是否排除都要進行通報;此外,原先會由資通安全會報技服中心處理各類資安事件,未來也將逐步轉由各單位自行處置,如此才能累積各單位的資安能量。
二、「政府及產業都必須取得相關資安認證」,除了積極推動政府及產業取得認證,如ISMS、BS7799等,也要加強提升各政府機關內、外稽核之檢核作業能力。此外,林逢慶更指出,政府為了加速內部各單位對於資安觀念的具體要求,將首先要求A級單位(涉及高機敏業務單位)進行BS7799認證的取得,之後再擴及其他層級單位。至於相關資安產品及委外服務方面,未來也將逐步規劃推動相關的認證與規範制定事宜。
三、「在推動e化政府敏感性檔案或資料加密方面」,將嚴格要求機關內部人員對於重要文件、資料、檔案等採取加密方式儲存,且對於重要網路資源也要採取有效隔離與防護措施,以防止侵入破壞、竄改、刪除或未經授權之存取動作,誠如林逢慶所言:「資安問題並非只是技術問題而已,內部管理才是應該要最重視的。」所以檔案加密也將成為重要的工作方針。
四、「推動相關自律與評鑑制度」,即針對WLAN、ISP業者訂定法制規範、評鑑政策和無線網路安全法制等,首先會要求ISP業者要有自律機制,且對於無線通訊、RFID等衍生的產業進行資安影響評估,也會將服務標章(Seal)取代憑證制度(Certification),以利推行。林逢慶表示,除了規範ISP、無線網路業者必須保留歷史稽核檔或使用資料,以便即時搭配執法機關的偵處,同時,資通安全會報更會將防制途徑轉向ISP、無線網路等業者,由其善盡社會責任,推展自律機制,雖然此類措施不具強制性,仍會要求業者在發現網路流量異常或使用者權益遭受侵害等狀況時,必須適切做好禁止傳輸和賠償等因應做法,如立法中的濫發商業電子郵件管理條例就有相關規定。
五、「推廣全民資安認知」,過去四年推動資安都僅在政府內部執行,對於私人企業、民眾並無強制要求,未來資通安全會報將建立全民資訊安全的服務網站,逐步將資安觀念推向企業、民眾,讓全民對資安領域有更深入了解,林逢慶就舉了大學生拷貝軟體事件為例,造成的原因就是各級學校對於網路版權、智慧財產等保護,認知不足,而未來網路的使用將擴及全民,所以必需加強全民資通安全相關法律及認知宣導,且明確訂定資通安全教育發展目標。
六、「研擬資安人才培育及訓練相關政策以及推動國內大學設置資安學程」,其實資訊安全對每個企業而言,都必須長期制度化培育資安人才。政府可由內部加強人員訓練,亦或與認證單位或學校等機構合作來強化資訊安全人員的養成,如辦理專業資安學程、規劃大學資安課程等。除此專業學程之外,也規劃一般資安課程給所有需進修的社會人士。
七、「編訂完成中華民國首部資通安全政策白皮書」,林逢慶表示,2005年將結合各界力量訂定資安白皮書,目的除了宣告台灣在資通安全基礎建設、應用發展與指標等,當然最重要功效是建立和勾劃出未來資安發展藍圖,以此白皮書做為平台將帶動資安產業技術研發,且掌握自主關鍵技術,其意義可說是非常重大。
八、「S計畫 (安全台灣計畫 Secure Taiwan Plan)的執行」,推動類似我國產業電子化之A、B、C、D、E計畫,由產、官、學、研等單位共同成立資安S計畫工作小組/室,研擬相關產業發展策略,利用大型專案帶動國內資安市場的全面發展,同時促使台灣資訊安全產業能朝國際市場邁進。
九、「建立跨國性區域聯防及國際合作議題」,除了積極爭取台灣舉辦國際性資通安全會議以建立良好合作交流管道等,也會進行資通安全政策、技術、教育訓練以及法規等相關經驗交流及資訊分享。
推動合作建構國際安全互通機制網際社會的資訊安全工作不能不與國際合作,林逢慶重申,國家資通安全會報第一階段開拓國際合作已有顯著成果,包括2001年起便積極參與國際間最大的資訊安全應變論壇(FIRST)等相關活動,透過活動參與掌握國外資安事件處理作法及經驗分享,並於2002年由我國及亞太地區澳洲、日本、馬來西亞、中國、香港等十三個國家共同組成APCERT組織,推動亞太地區資安聯防機制,交換資通安全相關情資,強化跨國界之資安事件處理能力。
此外,為了加強我國偵辦跨國性網路犯罪能量,國家資通安全會報於2003年7月起出席各項APEC網路犯罪會議,並於2003年10月正式加入G8網路犯罪單一窗口聯防組織,成為第三十五個會員,同時爭取美國司法部於2004年底於台灣辦理網路犯罪的司法能力建構相關教育訓練。林逢慶強調,未來資通安全會報第二階段將繼續主動積極參與國際資安相關組織、會議,以交換資訊安全相關情資和建立各項國際合作交流及訊息分享管道。而就網路犯罪層面來看,未來相關法令修訂也將朝加重刑責方向前進,如個人資料保護法,目的就是要收到防制網路犯罪之效。
後記此次與政委的訪談中,深刻體會其對資通安全的深入瞭解,專注的決心與態度,相信未來國內資訊安全的發展將是非常值得期待的。同時,無論政府制定了多完備的資通安全規範,相信除了相關政府機構人員必須確實執行,更需企業、社會大眾一同配合,正所謂『資通安全、人人有責』,如此才能讓台灣的資通安全政策有效推行,創造出更安全的環境。