行政院資安處處長簡宏偉表示,目前已經召開六場法案說明會,接著會送交國發會公共政策網路參與平臺蒐集大眾意見,預計10月中提報行政院院會,11月送立法院審查。

圖片來源: 

行政院

行政院資安通全處處長簡宏偉日前表示,列為行政院優先法案的資通安全管理法目前已經召開包括:政府機關、學者專家以及產業代表等共計6場的法案說明會,預計完成初步的法案說明後,也會放到國發會公共政策網路參與平臺聽取大家建言。

簡宏偉指出,資安處預計在10月中旬會將資安管理法提報行政院院會進行審查,最晚將於11月送交立法院進行一讀及委員會審查等立法程序。在行政院37個優先法案中,目前資安管理法列為第24案,未來審查過程中如果沒有太大爭議,將有機會可望在年底前通過。

關鍵基礎設施提供者,強制規定有通報應變的責任

簡宏偉表示,資安處從八月一日正式成立之後,便擔任政府資安主管機關的角色,為了要能夠更安全、更便利及更有效能地推動政府資通安全,資安處除了會配合政府組織變更外,也會強化政府及民間的公私協同合作的機制。因此,資安管理法除了規範政府機關之外,也正式將關鍵基礎設施提供者等非公務機關納入資安管理的規範範圍中。

根據行政院國土安全辦公室的分類,主要產業類別以:政府機關、能源、水資源、交通、高科技園區、金融、通訊傳播和醫療等八大關鍵基礎設施產業的提供者為主,因為和民眾生活安全息息相關,也希望透過有相關的法源依據,能夠據此要求相關關鍵基礎設施提供者,也能建立一套良好的資安制度。

簡宏偉表示,希望透過資安管理法的規範,做到由各機關落實資安責任等級的防應辦事項,建立資訊系統防護基準並切實做好相關的資安委外管理,進而推動資安情資聯防,真正做到政府以及相關的關鍵基礎設施提供者,可以建立資安聯防體系並做到彼此資安情資共享防護。

依照資安管理法的規定,公務機關一旦爆發資安事件,必須強制通報給行政院以及上級機關;至於非公務機關包含的關鍵基礎設施提供者以及適用資安責任等級分級及受指定之非公務機關的產品或服務,在該法中也規定,將強制通報給中央目的事業主管機關,而資安處將和主管機關密切合作;而其他的非公務機則也可以採取自願的方式,將爆發的資安事件主動通報到相關的主管機關。

他表示,未來資安處也會建立一個國家層級的資安情資分享單位,包括國家級的SOC(資安監控中心)、國家級的ISAC(資訊分享與分析中心)和國家級的CERT(電腦緊急應變小組),讓所有的資安情資可以共享。

另外,至於關鍵基礎設施提供者也會各自打造該領域的SOC、ISAC和CERT,由行政院資安會報指導成立各關鍵基礎設施資安指導推動小組,並由該關鍵基礎設施的主管機關召開各關鍵基礎設施資安會報;而企業組織層級除了可以透過資安服務管理業者(MSSP)提供資安監控服務外,企業也應該自行建立各自的CSIRT(電腦安全事件應變小組),才能夠打造完整的資安縱深防禦體系。

有資安管理法授權,行政部門才能依法行政

面對面對萬物聯網、萬物可駭的時代,連常見的網路攝影機都可以成為發動DDoS(分散式阻斷式攻擊)的傀儡網路(Botnet)時,因此,世界各國對於關鍵基礎設施的資安防護都相當重視。簡宏偉表示,一旦與民生安全相關的關鍵基礎設施提供者爆發資安危機時,有了資安管理法的法源授權依據,相關主管機關就可以強制要求受駭的關鍵基礎設施提供者,進行相關的通報應變措施,藉此確保更大多數使用者的安全性。

他也以第一銀行在七月份爆發的ATM盜領事件為例,因為第一銀行是隸屬關鍵基礎設施中的金融分類,除了主管機關金管會有權利對第一銀行進行相關的調查外,資安處身為行政院中的資安專責機構,未來就可以依照資安管理法的授權,協同金管會進行第一銀行資安事件的調查,並要求第一銀行必須落實更完善的資安防護措施。

行政院資安處也引述行政院國家資通安全會報技術服務中心的統計分析指出,惡意網軍對政府的攻擊,若與去年同期相比,入侵攻擊與掃描刺探類事件仍是最大宗,若以網軍攻擊的部會而言,則以外交、國防及法務相關的入侵攻擊事件的成長數量最多;而相關的供應鏈安全也已經成為未來APT(進階持續性威脅)攻擊的重點,例如,有網軍便是透過入侵防護等級較弱的委外的資服業者,或者是利用寄生在共用性系統,以及運用公有雲儲存服務傳送竊取資料等方式,藉此降低相關的APT行為被政府相關偵測到的機率。

在相關的執行面部分,簡宏偉強調,資安處也將積極推動網路攻防演練,並針對重點機關作資安稽核,且會發展資安治理成熟度的關鍵指標,也會透過各種資安健診、弱點掃描、滲透測試、通報演練及電子郵件社交工程演練等,作為資安管理法所納管單位強化資安的方式,也會將相關的成果匯報到行政院資通安全會報,並透過政府機關資安巡迴研討會的方式,把相關的成功案例和作法,進一步提供給全臺灣各地的政府機關。

即將在12月舉行的行政院資安攻防演練中,簡宏偉指出,今年會設計讓受測單位可以立即知道自己面臨的危險程度,類似像是當使用者受到勒索軟體綁架,檔案立刻加密而無法使用時的那種震撼教育;而未來,公務機關和非公務機關都有一定的資安通報責任和義務時,今年演練時,也會特別針對跨機關橫向協調的資安聯合防護做演練。

他也表示,資安處也會針對資安資服業者進行分級認證,如果是資安責任等級較高的機關,也建議採購資安認證程度較高的業者,以符合比較嚴謹的資安管理標準和相關程序。

此外,資安處也正在研議第五期國家資安發展方案,簡宏偉強調,資安管理是一種風險管理,國家如何有一個風險管理和評估機制很重要。目前,有很多機關都有自己的風險評估和評鑑機制,希望在第五期國家資安發展方案中,可以讓國家、部會以及機關等,都有縱深防禦的概念;至於相關關鍵基礎設施提供者的防護措施,則可以提供其他民間企業做為資安防護的參考。


熱門新聞

Advertisement