資安管理法統一資安規範高度,更能拉齊產業資安水準

新聞發佈

資安管理法統一資安規範高度,更能拉齊產業資安水準

2016-10-10 iThome 黃彥棻

勤業眾信風險諮詢事業部總經理萬幼筠認為,透過制定資安管理法,可以要求各個重要產業參差不齊的資安水準拉到一定水平,也是此次立法對於納入規範的公務機關與非公務機關所帶來的最大效益。

如今越來越多的服務必須透過資訊科技才能提供,但不論交易或是服務,過往經常呈現出不對稱的狀態,如臺灣電子商務業者擁有大量且寶貴的客戶資料,卻往往因為公司規模小,而沒有經費投入在資安項目中。

不過,勤業眾信風險諮詢事業部總經理萬幼筠認為,行政院資安處草擬的這份資安管理法,因為是作用法,在不討論組織位階的情況下,更看重如何可以實際上落實相關的規範時,能夠把雙方的權利義務談清楚,也要把該遵循的準則訂清楚,反而可以趁這個機會,把過去散落在各個法條中的資安規範、資安參考指引或準則,甚至是相關的資安防護的作法等等,全部做一次盤點和彙整,也讓此次新納入資安管理法規範的八大關鍵基礎設施提供者,有一套通盤的資安規範可以參考。

透過資安盤點及早發現資安缺口

萬幼筠認為,資安管理法首度將關鍵基礎設施提供者納入規範,也是一項從國家安全角度來審視資安的作法,畢竟,「資安等於國安,而許多關鍵基礎設施往往與許多民眾的生活安全息息相關,因此落實保護關鍵基礎建設,也是一種資安防護的作法。」他說。

萬幼筠也舉例,微軟XP作業系統在2014年4月8日終止支援後,公務機關為了確保作業系統的安全性,要求各個政府部門全面盤點XP作業系統的使用情況,並要求制訂落日條款、編列預算,全面更換到比較安全的新作業系統。以目前來看,除了少數偏遠的3、4級機關,還有使用微軟XP作業系統之外,公務部門幾乎已經完全升級完畢。

但他也說,若2014年公務機關開始進行微軟XP作業系統的資安盤點時,便把身為關鍵基礎設施提供者之一的金融業也納入盤點,過程中一定會發現,如一銀以及其他銀行在內的ATM,多數還在使用微軟XP作業系統。萬幼筠認為,透過全面性盤點,以找出脆弱的資安環節,再加上法規的要求,就能夠迫使銀行業者更早因應ATM相關的資安風險。

資安管理法拉齊各產業資安水準,明訂資安情資分享機制

而其他的國家大多已制定資安管理的專門法律,臺灣過往因為只規範公務機關為主,反而過度零散。這次的立法過程中,多數人的看法都贊成類似的立法機制,只是對於內容和架構的觀點不同而已。

「許多產業資安水準有很大的落差,此次透過制定資安管理法,可以透過法規,要求各個重要產業的資安水準,以拉到一致性水準。」萬幼筠認為,這也是此次立法對於納入規範的公務機關與非公務機關所帶來的最大效益。

此外,在資安管理法中,也明訂行政院應該要建立資通安全情資的分享機制,萬幼筠指出,美國在發生911的恐怖攻擊事件後,便成立了國土安全部(DHS),其中,國土安全部一個很重要的任務除了蒐集情資外,也必需要做到情資安的分享機制,才能真正達到「聯防」的效果。

他認為,臺灣以往因為缺乏法源依據,許多單位即便掌握了重要的資安情資,卻因為無法適當地分享出去,而未做到提前資安預警,而讓相同的資安風險先後在機關內陸續引爆。「好的情資可以讓你上天堂。」他認為,透過一個資安情資分享機制,可以做到產業聯防,甚至做到事前的資安預警。

資安管理法的罰則採用行政處罰並沒有刑責在內,萬幼筠同意,該法本身罰則並不重,但是,有一些主管機關在進行相關行業的監管時,不見得會用這麼輕罰則的條文作處罰的依據,例如,金管會針對金融業者的處罰,像是銀行外洩個資時,金管局會以違反內稽內控的條文,最高處罰銀行400萬元的罰款,往往比個資法的罰則重。

先求有再求好,把資安鑑識等細節保留在細則中

資安管理法草案歷經多次討論,迄今已經舉辦了六次說明會,參與人士包含機關、產業代表與學者專家等,而仍將資安管理法視為原則性的法規,比較細部的執行細節規範,則會保留在細則中制定。

舉例來說,萬幼筠表示,在處理資安事件時,很重要的是必須要保存完善、準鑑識等級的數位證據,例如Log等,才能夠進一步做數位鑑識,以查出事件的根本原因。目前,在資安管理法的法條中並沒有相關的規定,他建議,可以考慮接下來在制定施行細則時,納入相關的規範。

他指出,這次資安管理法草案有24條,也會參考一些國際標準或是交易習慣,甚至是其他各國的資訊框架和規定等,都讓資安管理法的立法可以跟上國際潮流,而這也讓各個中央目的事業主管機關,可能夠用相同的資安水準,來規範個各產業的資安防護措施。

是否找到您要的資訊?