今年八月一日行政院正式成立资安处,处长由简宏伟担任。而他上任后的第一优先要务就是,要在年底前,完成资安管理法的立法院三读程序,预计八月点会先有一份修正过的草案出炉。
图片来源:iThome
行政院政务委员吴政忠在行政院资安处正式成立后,也正式下达指令,要求新接任资安处处长简宏伟,务必在年底前,将资通安全管理法(简称资安管理法)完成立法院的三读程序。而科技政委的军令状,也成为资安处正式成立之后,除了国家资安政策的研拟和日常资安事件的处理之外,势必要做出一番成绩的压力来源。
简宏伟也对他自己和资安处同仁订出一个概略的时程,预计在八月底会推出一个由资安处草拟的资安管理法版本,也会和各个部会进行讨论,请他们提出对于草拟资安管理法的意见后,预计在九月时,召开针对部会、民间企业和学界等不同单位的座谈会,彙整大家的意见后,便会提出一个草案版本作为行政院版,送交立法院进行三读程序。
至于资安管理法为什幺重要?答案其实很简单,资安管理法的目的,就是让人做正确的事情,可以在法令规定下,好好处理对的事情。也就是说,当政府通过资安管理法后,就可以规範各个目的事业主管机关对于资安事件所赋予的权利义务,法律本身还是比较採用原则性的规範,避免有任何异动,就必须付诸修法。像是,对于中央目的事业主管机关的权责,就应该清楚规範,避免无限上纲;中央目的事业主管机关也应该针对资安管理法的规範,各自订定相关的施行细则以供参考。有这了这样的法律之后,不会造成公部门过度滥权或扩权的疑虑,也确保各个机关和民间企业面对应该负起的「资安」责任时,有一个参考的依据。
资安处将大幅修改二月份的草案版本
在马政府时期,当时的行政院长张善政对于资安非常重视,也积极要求当时的资通安全办公室要彙整各方的意见后,先提出一个草案版本,再转交给当时规定的资安主管机关科技部,进行后续的提案和立法程序。
只不过,这个二月份的草案版本,因为还是以当时成立的行政法人作为主要立法的依据,加上当时指定科技部作为资安主管机关,所以,资安处在八月底推出的新版资安管理法草案,将会大幅修改相关的法条内容,以期能符合现在的政府法制现况。
由于资安管理法最早的立法精神是仿效个资法,同时规範政府机关和非政府机关的资安作为,但也因此,资安管理法从一刚开始的讨论过程和草案草拟过程,资通安全办公室一直承受很大的压力,因为有许多来自不同势力的游说力量,都透过各种方式施压,希望逼迫当时的资通安全办公室,应该要把这个资安管理法的适用对象,限缩在只要规範公务机关即可,政府的「魔掌」不需要深入到非公务机关等民间企业。
一般而言,个资到底有没有外洩,基本上是一种可以「量化」的损失,对于受害者或者是企业而言,都相对好定义,也容易有共识;但是,企业的资安到底有没有做好,是否有使用者因此而遭受到一些权利义务上的损害,其实很难有明确的规範,加上,近年来,台湾企业将本求利,以降低成本(Cost Down)作为最高的营运目标时,也难怪当时的资通安全办公室必须承受一些游说的压力。
即便吴政忠下令资安管理法是列为优先法案之一,简宏伟接任资安处处长还不到一个月的时间,加上新版本的资安管理法草案还没有出炉,可能的游说压力也还没有降临资安处。一切将等到八月底这份资安管理法草案出炉后,是否会有更多包括部会和来自民间企业对相关法条的争议,才会更为明朗。
资安处应为资安管理法的主管机关
旧版资安管理法草案中,当时是指定科技部作为资安的主管机关,也引发诸多争议。而在行政院依照处务规章的修订,正式新增资安处后,资安管理法按理就应该明定,该法的主管机关就是资安处,一旦有任何资安事件的判定或者是解释、疑义时,都应该以资安处作为最后做决策的主管机关。
当年修订个资法时,因为缺乏统一的「个资法」主管机关,一旦遇到有各种意见争论时,因为没有统一的个资法主管机关,所以,那时候就是受害者和企业互比神通的时候,谁可以说理明确清楚、谁可以清楚呈现已经善尽管理之责等,都可以大幅降低法官因为企业违反个资法时,对于企业的惩处力道。
反观,资安管理法一旦清楚明定资安主管机关就是资安处后,一旦有目的事业主管机关或县市政府要对没能落实资安作为的企业进行行政检查时,就会有一个统一的主管机关出面裁定,受检查的企业是否的确有违反资安管理法的规範,也会对所有争议有所判定。
以资安管理法设定的行政检查权而言,主要是以民众安全和国家安全息息相关的关键基础建设做为主要的检查对象,当除了警察和调查局外,目的事业主管机关也有权检查时,中间的权责一定要清楚定义,才可以避免政府扩权和滥权。
毕竟,以前没有法令规範时主管机关因为无法被动要求法规遵循,也无法主动出击要求业者修补资安漏洞,但当有资安管理法作为法规遵循的基础时,预计将大幅改变既有的资安现况,可以更具有主动性和积极性。
例如,以近期高通(Qualcomm)晶片组驱动程式有4个漏洞,保守估计,全球有超过九亿台Android装置会受到这些漏洞的影响,骇客就可以利用这四个漏洞,掌控使用者的Android装置安全性。如果有资安管理法的法律规範,国家通讯传播委员会(NCC)就可以根据资安管理法对于製造业者的要求,强制手机业者应该要立即发布这些装置的更新修补程式,以确保装置和使用者的安全性。资安管理法便赋予NCC作为主管机关,可以强制厂商发布更新程式的权利,这也类似美国产品回收或汽车召回检修的制度,以确保使用者在使用相关设备时的安全性。
不论是谁,现在如果想要盘点政府或企业的资安现况,以及面临的风险程度等等,都是相当困难的。举例而言,美国因为有法律明定,企业一旦发生资安事件,依法都必须对外完整说明公告发生的情况和处理的进度。
反观台湾,不论是资安处或者是目的事业主管机关接获有人检举某间公司,因为资安作为不当,导致该公司的使用者权益受到损害时,除了检警调单位可以有司法检查权外,其他还有谁有权利介入调查或者是行政检查呢?而一旦面对这些资安事件本质都涉及到商业行为时,不论是资安处或者是目的事业主管机关,又该如何介入呢?如果未来的资安管理法,也可以对这样的行政检查範围有明确的规範时,不仅可以确保主管机关不致于滥权,也有助于即时遏止资安事件持续爆发,进而能设立一个停损点。
当然,资安管理法并非万能,中间仍有许多细节有赖进一步草案版本释出后,才会有更多的讨论空间。但可以确定的是,资安管理法的制定将是台湾资安管理迈入法制化的第一步。
?
上週(8/14~8/20)重要资安事件回顾:
※Twitter打击恐怖主义,上半年终止23.5万个帐号
※FireEye:勒索软体Locky严重危害医疗产业,台湾名列前十大受害国家
※思科与Fortinet坦承防火墙漏洞遭「方程式」外流攻击工具锁定
※木马程式Marcher进化,假冒Android韧体更新、知名App程式及网页
※Check Point:勒索软体走向_SaaS商业模式,骇客抽佣4成赎金
※Lookout警告Linux漏洞波及全球约8成Android装置
※微软简化Windows更新策略,10月起Windows 7、8.1将採累进式修补
※Android用户要当心! 卡巴斯基:木马程式藉Google AdSense广告联播网散布
?
I 相关 / Other
好房网News记者贾蓉/整理报道 别以为网友只会空口说白话,这次提出10大论点,直指在投资客、陆客不买房,六、七年级生买不起的状态下,“2020年前,台湾房价会跌3成不夸张”,不过戴德梁行总经理颜炳立却持保留态
网络配图南京8月23日电,23日,记者从南京市相关部门获悉,南京地铁七号线建设规划已全文向社会公示。根据公示,作为南京的又一条横穿城市中心的地铁线路,七号线全长约35.7公里,设站26座,预计最快将于今年年底开工
兆丰金控暨兆丰银行董事长蔡友才。兆丰金控旗下兆丰银遭美国重罚案向上延烧,前兆丰金暨兆丰银董事蔡友才遭列他字案被告,蔡友才3月闪辞时机也受到质疑,对此,蔡友才23日发布四点声明强调,在今年3月辞去董事长前,
(中央社记者陈伟婷台北23日电)台湾品牌“纯萃喝”奶茶因含有茶胺酸遭新加坡下架。卫福部食药署表示,茶胺酸在台湾是合法食品添加物,这类产品没问题。今年7月13日甫进军新加坡的台湾纯萃喝奶茶,遭星农粮暨兽医局以
电脑品牌厂宏碁今携手中华电信推出新世代智慧行动办公室解决方案,宏碁通信董事长施宣辉期许,未来能做到台湾交换机市场的“somebody”,成为业界翘楚。中华电信与宏碁今举办“2016企业通信4.0趋势论坛”,正式推出