https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

資訊安全法規如何推動與遵循?

2016 / 07 / 11
魯君禮
資訊安全法規如何推動與遵循?

「那是最好的時代,也是最壞的時代;是智慧的時代,也是愚蠢的時代;是信仰的時代,也是懷疑的時代…」~??狄更斯?『雙城記』 

15年前剛開始踏入資訊風險管理這個領域時,有同事告訴我:「資訊安全顧問服務是奢侈品,資安並非企業營運的必要工作項目。」那時網際網路剛開始泡沫化,ATM密碼只有4位數字,網路銀行剛要起步,電子郵件的附件經常都是美女圖,或是達賴喇嘛的十句經典對話,並且一定要轉寄給十個人才會帶來好運。企業對於資訊安全的意識還在防火牆和防毒軟體間糾結,資訊安全管理觀念比雲端還要遙遠,相關法令付之闕如,網路幾乎是個沒有法治的世界。

幸而行政院於2001年成立「行政院國家資通安全會報」,推動第一個四年計畫,開始要求政府機關遵循「行政院及所屬各機關資訊安全管理要點」,並依「行政院及所屬各機關資訊安全管理規範」內容制定資訊安全政策。除了應遵循電腦處理個人資料保護法及國家機密保護辦法外,尚應衡酌機關業務需求,建立資訊安全管理制度。所以就法規遵循的角度而言,政府機關均應建立資訊安全管理機制。 


先識別出組織適用之當地相關法令 
至於企業的資訊安全管理以金融業推動最早也最普及,自2002年開始,許多金融機構以BS7799為標準建立資訊安全管理制度(Information Security Management System,簡稱ISMS)。直到這套管理制度成為國際標準ISO27001,其內容的最後一個章節始終是「遵循性」(Compliance),也就是說建立資訊安全管理制度時,要同時考量避免違反任何法律、法令、法規或契約義務對資訊安全之要求。因為各國法律不同,所以應該要先識別出組織適用之當地相關法令。 

以本國銀行為例,除了一般民、刑法及銀行法之外,尚應知道主管機關及同業公會對資訊作業之要求,例如:「金融機構資訊系統安全基準」、「金融機構作業委託他人處理內部作業制度及程序辦法」、「金融機構辦理電腦系統資訊安全評估辦法」等。此外還有針對特定業務應遵循之相關規定,如「電子支付機構資訊系統標準及安全控管作業基準辦法」。 

而保險業及證券業亦有相對應類似之相關法規,因此成立法令遵循單位不僅是主管機關要求,也是全球公司治理趨勢。當公司治理、風險管理及法令遵循(GRC)成為企業共識時,資訊安全管理也將被認知為公司所有成員的責任。

法令遵循部與人資部門共同推動宣導 
在實務上,若將資訊安全相關法令區分為組織應遵循的和個人應遵守的兩部份,或許比較容易推動落實。與組織應遵循的相關法規可由法令遵循部門負責辨識,並對業務相關部門人員宣導;與員工行為相關的,則由人事單位負責對公司全員進行教育訓練及宣導。員工教育訓練教材以《資通安全法律案例宣導彙編》為最佳,這系列彙編自2002年到現在,由一群有使命感的專業團隊持續撰寫至今。
在觀念上,應該摒棄法律是道德底線的看法,從「己所不欲,勿施於人」的角度來面對思考如何遵循法令。 

以個人資料保護為例,每個服務於「公務機關或非公務機關」的上班族,都有個人資料存放於其他「公務機關或非公務機關」,不論是政府單位、銀行、保險公司、證券公司或是財團法人。我們希望自己的個人資料如何被保護,就應該用相同的態度去保護所取得的個人資料。同樣的,當我們知道個人資料保護法明定每個人都可以行使5項權利時,企業或組織也應該知道如何回應這5項請求。 

對公務機關而言,雖有依法行政原則,但是在民眾自我意識高張之現代,要回應各類個人資料保護之要求及主張並非易事,若是動輒以個資法拒絕個資申請之請求,恐易惹民怨。曾有警察機關以個資法為由拒絕搜尋意圖自殺民眾之手機位置,亦有戶政事務所拒絕郵局尋找收信人地址之請求,其困難處在於公務機關承辦人員未必都能瞭解個資保護之作業程序及目的,故無法正確回覆民眾請求。因此除了編列預算強化資訊安全維護措施外,如何建立符合ISO/CNS29100之個人資料保護機制並宣導落實,應是所有政府機關應面對之課題。 

法令遵循是建立誠信文化,維護企業形象的重要指標。資訊安全則是保護企業重要資訊資產的基本功夫,在面對科技快速發展的未來,不論是雲端科技、行動支付、物聯網等,都將對企業營運帶來相當的衝擊和影響,在這瞬息萬變的經濟情勢下,唯有體質健全的企業才有機會勝出並且永續經營。 

日前資訊立法聯盟於國發會公共政策網路參與平臺提議訂定「資訊基本法」,希望政府與民間可以共通參與,重拾台灣資訊國力。其內容除了要求政府成立明確之資訊主管機關外,亦要求明訂政府資訊預算比例,並且要求對於資訊安全管理及技術研發及網路虛擬空間之事權,均應以正式法令規定之。推動此法之目標在於解決國內資訊領域發展遲緩之現況,更重要的是,台灣應該盡早跟上國際趨勢,建立一個有互信基礎的社會,才有機會展望數位潮流上的未來。

本文作者目前任職於安永企業管理諮詢服務股份有限公司