以風險管理為核心的資安專法

圖1：資通安全所涉6類現行法規。(資料來源：行政院資安處)

                                  圖5：資安管理法中列舉8大領域為關鍵基礎設施。(資料來源：行政院資安處)

總則篇其他條文則列出政府需推動的相關事項，包括人才培育、資安產業發展、制訂安全政策等，也規定行政院應建立資通安全情資分享機制。另外，這一、兩年來發現有些駭客會先攻擊防護較弱的政府委外廠商，再伺機由委外廠商入侵政府單位，因此在第8條中也列出對委外單位的管理規範。

適用對象的資通安全管理
第2(第9-14條)、第3章(第15-18條)中所規範的就是公務與非公務機關的安全管理事項，如圖6所示。簡單來說，就是規定適用資安管理法的組織機構，需擬訂並實施安全維護計畫，然後接受查核，針對有待改善的部分，再提出矯正計畫。如同簡宏偉強調：「資安一定會有漏洞」，所以除了安全維護計畫外，還要有當事件發生時的通報應變機制。基本上就是依照品質管理中PDCA的循環方式，希望組織單位的資安環境能得到持續的改善。                        

                                 圖6：公務與非公務機構所需進行的安全管理事項。(資料來源：行政院資安處)


處罰最後通牒
凡事徒法不足以自行，針對上述的安全管理事項，如果未能達到的話也要有相對的罰則，以免出現即使有組織不遵守規範卻無法可罰的窘境。如圖7所示，第4章(第19-21條)罰則就是針對非公務機關未依規定制訂相關安全計畫、發生事件時未予通報，與規避妨礙行政檢查的3種情況下所產生的罰則。

                                  圖7：非公務機關違反資安管理法時的罰則。(資料來源：行政院資安處)

簡宏偉提醒其中事件通報應變的重要，因為不通報就無法協助、處理事件，最後可能演變至無可挽回的情況，因此需透過罰則的制訂來避免應通報而未通報的情形。但他也強調資安管理法的重點不是在罰，而在輔導要求改善，目的是在「如何做好風險管理，有一個良善的計畫，出事通報，如此而已」，有違反規定就限期改正，真的不行才進行處罰。

結論：讓觀念內化成日常作業
或許有些人會認為，即使用法規要求政府機關或民間業者達到某些資安標準，甚至是通過ISO 27001的驗證，都只是一些形式上的表面工夫。不過簡宏偉認為雖然剛開始可能只是因為法令的規定去執行這些資安計畫，但他希望大家能透過這些形式上的要求去了解、熟悉風險管理的概念，再利用持續的資安演練，把這些觀念內化成日常管理作業的一部分，讓組織的相關資訊系統都能獲得必要的資安防護，這才是立法規範的最終目的。