https://www.informationsecurity.com.tw/seminar/2024_Finance/
https://www.informationsecurity.com.tw/seminar/2024_Finance/

觀點

以風險管理為核心的資安專法

2017 / 01 / 19
陳啟川
以風險管理為核心的資安專法
在面對日益嚴峻的資安威脅,國人面臨的資安威脅不斷升高,台灣現行相關的資安法規逐步漸漸擴大普及,現階段針對部分產業進行相關法規的實施,資安管理法則是其中一個代表。如圖1所示,目前國內資安相關的法規可分6大類別,相對的法規名稱如圖2。


圖1:資通安全所涉6類現行法規。(資料來源:行政院資安處)

                                              圖2:6大類別相對現行法規。(資料來源:行政院資安處)  

首先我們要考量的是現有法規是否足夠?再者,有些法規相互抵觸,彼此無法銜接,甚至出現競合時該怎麼辦?因此我們需有一個以風險管理為核心,具備更高法律位階的資通安全專法做為依據,待母法的原則框架確定後,才能針對各個子法或施行細則等細節,由執法單位與中央事業主管機關來訂定或做相對應的修正,成為建構數位社會的良好基礎。 

因此,行政院資通安全處2016年9月公佈資通安全管理法草案,並在彙集大眾意見進行部分條文的刪除修改後將循立法程序推動,成為針對國家整體資安環境建立的專法,以加速建構國家資通安全環境。

行政院資安處處長簡宏偉強調資安是一種風險管理的概念,「如果10元的東西花100元去保護,就不是好的做法;我們應用花1塊錢來保護10塊錢的東西」,簡宏偉進一步說明。資安管理法是以風險管理為核心,讓政府機關與民間機構知道知道什麼是風險管理?以及如何做到。

名詞定義與政府相關推動事項
目前公佈的資通安全管理法草案整理架構如圖3,共分為5章23條。第1章總則(第1-8條)主要在界定此法的適用範圍,像是公務、非公務機關與關基礎設施的定義。

                                        圖3:資通安全管理法草案整體架構。(資料來源:行政院資安處)

公務機關與非公務機關5類適用範圍
如圖4,資安管理法所規範的對象為公務與非公務機關,共計5種類別。公務機關有中央與地方機關、行政法人2類。非公務機關則包括關鍵基礎設施提供者、非關鍵基礎設施之公營事業,與政府捐助達一定比例之財團法人3類。

                                       圖4:資安管理法所規範的對象範圍。(資料來源:行政院資安處)

國內8大關鍵基礎設施
關鍵基礎設施的部分,草案第2條定義所謂關鍵基礎設施指的是:「其功能一旦停止運作或效能降低,對國民生活、經濟活動、公眾安全或國家安全有重大影響之虞。」如圖5所示,裡面列舉了能源、水資源、交通、通訊傳播、銀行金融、醫療、政府機關與高科技園區8大領域。不過簡宏偉提到這8大領域並非固定不變,原則上會與國土安全辦公室協調,每兩年進行一次調整。

以電子商務為例,雖然國內相關的詐騙案件層出不窮,有人認為應將電子商務也納入需規範的類別內,但考量到電子商務業者的規模差異很大,且未達影響到國家安全的程度,所以初期尚未列入。不過未來當電子商務業者可能影響到社會穩定時,也將被視為關鍵基礎設施提供者。也就是從影響層面來定義關鍵基礎設施為何,而無需訂定每一產業是否需要納管,以維持法源的穩定性。

                                  圖5:資安管理法中列舉8大領域為關鍵基礎設施。(資料來源:行政院資安處)

總則篇其他條文則列出政府需推動的相關事項,包括人才培育、資安產業發展、制訂安全政策等,也規定行政院應建立資通安全情資分享機制。另外,這一、兩年來發現有些駭客會先攻擊防護較弱的政府委外廠商,再伺機由委外廠商入侵政府單位,因此在第8條中也列出對委外單位的管理規範。

適用對象的資通安全管理
第2(第9-14條)、第3章(第15-18條)中所規範的就是公務與非公務機關的安全管理事項,如圖6所示。簡單來說,就是規定適用資安管理法的組織機構,需擬訂並實施安全維護計畫,然後接受查核,針對有待改善的部分,再提出矯正計畫。如同簡宏偉強調:「資安一定會有漏洞」,所以除了安全維護計畫外,還要有當事件發生時的通報應變機制。基本上就是依照品質管理中PDCA的循環方式,希望組織單位的資安環境能得到持續的改善。                        


                                 圖6:公務與非公務機構所需進行的安全管理事項。(資料來源:行政院資安處)


處罰最後通牒
凡事徒法不足以自行,針對上述的安全管理事項,如果未能達到的話也要有相對的罰則,以免出現即使有組織不遵守規範卻無法可罰的窘境。如圖7所示,第4章(第19-21條)罰則就是針對非公務機關未依規定制訂相關安全計畫、發生事件時未予通報,與規避妨礙行政檢查的3種情況下所產生的罰則。

                                  圖7:非公務機關違反資安管理法時的罰則。(資料來源:行政院資安處)

簡宏偉提醒其中事件通報應變的重要,因為不通報就無法協助、處理事件,最後可能演變至無可挽回的情況,因此需透過罰則的制訂來避免應通報而未通報的情形。但他也強調資安管理法的重點不是在罰,而在輔導要求改善,目的是在「如何做好風險管理,有一個良善的計畫,出事通報,如此而已」,有違反規定就限期改正,真的不行才進行處罰。

結論:讓觀念內化成日常作業
或許有些人會認為,即使用法規要求政府機關或民間業者達到某些資安標準,甚至是通過ISO 27001的驗證,都只是一些形式上的表面工夫。不過簡宏偉認為雖然剛開始可能只是因為法令的規定去執行這些資安計畫,但他希望大家能透過這些形式上的要求去了解、熟悉風險管理的概念,再利用持續的資安演練,把這些觀念內化成日常管理作業的一部分,讓組織的相關資訊系統都能獲得必要的資安防護,這才是立法規範的最終目的。