https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

資訊資安新法並進 安全基礎下推動台灣數位經濟

2017 / 07 / 10
侍家驊
資訊資安新法並進 安全基礎下推動台灣數位經濟
一直以來政府部門推動資安總是遇到人力不足、預算不夠的問題,以及資訊部門位階太低導致在組織內部推動資安窒礙難行。另方面,當雲端、行動、物聯網、人工智慧等新興科技席捲全球,各行業盼望資訊科技能協助企業轉型,資訊部門能成為帶動企業創新的火車頭時,資訊長的角色也被賦予更高的期待。因此,各界開始呼籲台灣需要設立國家級資訊長,協助推動政府數位治理、邁向數位國家。

資安的困境與資訊長四法
過去曾有幾個中央部會發生資料外洩、系統大當機等資安事件,造成民眾個人資料外洩,也使公共服務停擺,而事後進行檢討時發現,這些出問題的系統許多都是由業務單位自行對外發包,並未會辦資訊單位或參酌資訊單位意見,在合約上未要求做好資安檢核就驗收上線。而「繞過資訊單位」便說明了資訊單位在組織中層級過低,不受重視的窘況。

不僅如此,過去行政院資通安全會報要求資安等級列為A、B級機關需建置資訊安全管理系統(ISMS),但許多B級機關資訊單位層級過低,僅僅編制1至2人,基層資訊人員在內部資安推動會議上經常遇到來自其他部門主管的阻礙。

去(2016)年底立委余宛如等人提出資訊長四法草案並完成一讀,包括新增「行政院資訊總處組織法」草案、「政府資訊單位人員設置管理條例」草案,以及修正「中央行政機關組織基準法」和「行政院組織法」部分條文。期望能將資訊部門由現在的幕僚單位重新定位為業務單位,資訊總處統一指揮、協調資訊政策並進行跨部會資訊整合,而政府資訊人員也能做到更好的流動升遷。

致力於推動數位經濟產業發展的余宛如,在推動金融監理沙盒法案(「金融科技創新實驗條例」草案)後,認為政府應與民間協作,讓社會創新成為數位經濟最好的實驗場域,有感於現有政府組織架構與目前兼任資訊長二級制(由機關副首長兼任資訊長)的作法無法有效率地推動數位經濟發展政策,加上數位經濟的推動必須打破部會之間的疆界,或進行法規鬆綁,例如媒合司機與乘客的交通網路公司Uber、提供短期房屋出租服務的Airbnb等都是在現有法規下有爭議的新創服務。

「推動政府數位治理是一項綿長的工作,新加坡在政策延續下持續努力25年,直到2015年宣示轉型為數位國家,而台灣過去推動的電子化政府政策過於破碎、分散,現在亟需一個以民眾為核心、資料治理的思維來推動數位政策的組織,」余宛如說。

過去電子化政府是由行政院國家發展委員會負責,國發會也同樣擔任去年底科技會報通過的「數位國家創新經濟發展方案」中網路社會數位政府行動計畫的主辦單位。國發會資訊管理處處長受訪時曾指出,推動數位政府在人員方面,希望讓公務人員都接受資訊素養教育訓練,使業務單位人員具備資訊能力進而能提出需求,相關經驗並列入考績。這樣的做法立意雖好,但相對之下,讓對於大數據、區塊鏈等新興IT技術較熟悉的資訊部門定位為業務單位,對需求的提出應更有效率。

將政府權責定義清楚 資安法才能發揮作用
另外,數位經濟的推動背後需有資安來支持,沒有資安,任何數位的發展恐怕帶來更大災難。資通安全管理法草案目前已送立法院審議,余宛如比較美國聯邦資訊安全管理法(FISMA)2014年版與行政院版資安法後,認為以下三大部分後續應更清楚定義並修正以減少爭議:第一、強調市場機制。美國FISMA當中強調,選擇軟體或硬體資安解決方案應由各機關自行自商業市場產品中挑選,佐以認證機制的中立性,可直接達到扶植產業的政策目標。而台灣資安法雖也提及帶動資安產業發展,卻未著墨如何帶動,且政府採購法仍未設置資訊採購專章,仍以營造採購思維規範資訊採購;第二、資安組織架構明確、職責分明。FISMA對於各角色、職責、業務歸屬、分工分權及如何課責皆有清楚定義,台灣資安法對職責、角色定義不夠明確,例如國家資通安全會報技術服務中心接受政府委託提供各機關資安技術服務,應更清楚定義所賦予的公權力是甚麼以及該承擔哪些責任;第三、中央目的事業主管機關對非公務機關的監管權過大且自身責任未明。

草案第十五條指出「中央目的事業主管機關或直轄市、縣(市)政府應指定關鍵基礎設施提供者,報請行政院核定。…」;第十八條「中央目的事業主管機關或直轄市、縣(市)政府因稽核資通安全維護計畫發現重大缺失,或遇重大資通安全事件,認有必要時,得進入受稽核或發生重大資通安全事件之非公務機關場所檢查…」余宛如表示,關鍵基礎設施業者在美國是由國土安全部指定,而台灣中央目的事業主管機關或縣市政府是否具備足夠專業來指定業者以及進行稽核?另方面,在美國被指定的業者與政府之間是合作夥伴關係,兩者皆負有維護關鍵基礎設施安全的權利義務,而台灣在這點上政府該負的責任並未敘明。

資安即國安、資訊力就是國力。資安法與資訊長四法是推動數位經濟發展、台灣邁向數位國家的重要前提。台灣在電子商務、金融科技等領域的發展都未搶得先機,不能再讓落後的法治環境成為阻礙發展的絆腳石,也不能再讓政府行政效率太差成為企業出走的理由。藉由資安法與資訊長四法立法同步並進,啟動國家機器的變革,現在正是時候。