行政院资安处预计在2周内,将修改过的资安管理法草案放在公共政策网路参与平台上,希望能够广泛徵询各界对于该法的修正意见。
行政院资安处已经于今年八月底,大幅修改旧版的资安管理法,并于九月六日举行过第一次的各机关意见徵询的座谈会,行政院资安处处长简宏伟表示,接下来也将在广泛蒐集产业对于资安管理法的相关意见,预计最晚在2周内,会将该份内部讨论的资安管理法草案,送到公共政策网路参与平台(简称Join平台),广泛蒐集包括产业界对于该法的意见。
此外,针对这份资安处大幅修改过的资安管理法,简宏伟指出,目前草案中规範了公务机关和非公务机关,都应该受到资安管理法草案的规範,一般而言,规範公务机关如何受到该法规範,并没有太大问题,但是从旧版资安管理法草案中,多数人对于非公务机关也须受到资安管理法规範,意见颇多。而简宏伟也确定,新修正的资安管理法中所规範的非公务机关,将以攸关民众安全相关的八大关键基础建设保护(CIP)和关键资讯基础建设保护(CIIP)的产业为主,也明确规定,未来目的事业主管机关也必须要一定的情况下,才能够行使所谓的行政检查权,避免政府扩权,也确保非公务机关的权益。
八大类关键基础设设产业,将纳入资安管理法规範
经历过第一次对政府各机关对资安管理法的意见徵询,简宏伟表示,多数的机关比较担心的内容多以执行面为主,例如,是否会新增更多的行政作业程序?是否会受到重複稽核?执行程序是否变多或变得更繁琐?当然,也很一些关键基础建设的目的事业主管机关也忧心,对于没有具备足够的能力落实相关的稽核程序。整体而言,他认为,政府机关对于资安管理法仍具有一定的接受度,执行面的问题可以做更多的细部讨论做解决。
根据行政院国土安全办公室提到的关键基础建设的定义,可以归纳为:「国家公有或私有、实体或虚拟的资产、生产系统以及网络,因人为破坏或自然灾害受损,因而有影响政府及社会功能运作、造成人民伤亡或财产损失、引起经济衰退、环境改变或其他足使国家安全或利益遭受损害之虞者。」而台湾也规範了八大关键基础建设的类别,包括:能源、水资源、资通讯、交通、银行与金融、紧急救援与医院、中央政府和高科技园区等八类。
之前,资安管理法的立法方式,仿效个资法的作法,同时规範公务机关和非公务机关,其中,负责资安管理法草案的行政院资通安全办公室也承受许多来自外在团体的压力,主要就是希望可以将非公务机关不必纳入资安管理法的规範之中,直到行政院资通安全办公室将草案彙整后,转交给当时的资安主管机关科技部时,这样的争论也一直都没有解决。
从简宏伟透露的资讯可以确定,在行政院资安处新修正的资安管理法中,也站在保护民众权益的角度,确认只要是八大类的关键基础建设的产业,都纳入非公务机关的规範之中;至于台湾主要的中小企业主,之前因为担心,一旦一般企业也被纳入资安管理法的规範之后,就得另外多花费更多成本,投资在资安层面上而有所抗拒企业主,表面上也可以感到「放心」。
但事实上,企业资安一旦没有做好,纵然公司有金山、银山,也可能遭到像是公司电脑被植入勒索软体后,该勒索软体将公司所有的数位资产加密,形同公司资料「一夕被删」,更多时候,即便届时企业主想付赎金救回资料,也不见得能顺利复原相关的数位资产时,到时候欲哭无泪的就是这些不重视资安的企业主本人。
明定主管机关行使行政检查权的时机,避免政府扩权
除了明定只有部分非公务机关是纳入资安管理法的规範时,先前遭到许多企业质疑的行政检查权,也在修正的资安管理法中有比较明确的规範。简宏伟认为,因为只有部分与关键基础建设有关的非公务机关将纳入资安管理法的规範,一旦政府或者是目的事业主管机关想要行使行政检查权时,必须有一定的程序也要非常谨慎,避免造成政府扩权或滥权,危害一般非公务机关单位的权益。
毕竟,这些关键基础射箭相关单位的系统,一旦出现任何的纰漏或者是遭受到各种大规模的攻击等,民众生命以及身家财产的安全都有可能会遭到损害,政府有责任主动跳出来了解事情的原委,并协助解决。
之前曾经有发生过类似的案例,就是,远通电收ETC宣称在三小时内,遭到骇客82亿次的攻击,导致系统无法提供相关服务。当时担任政务委员的张善政则主动介入相关事件的调查,当时远通电收自认为是一般民间公司,政府不应该调查,该公司也无须在遭到攻击时,主动通报相关的主管机关。
但是,当时张善政则认为,远通电收属于政府提供的交通类别的服务,ETC一旦出包,将严重危害数百万名用路人的权益,政府应该主动介入。若以八大类关键基础设施的分类来看,远通电收ETC虽然是民间企业,但因为系统的安全与稳定的确影响许多民众的权益时,的确应该纳入政府的资安通报範围中。
前朝政府要求相关关键基础建设相关的非公务机关一旦遭到资安攻击时,都必须主动跟主管机关进行资安通报;但到了资安管理法的立法时,则对相关单位有更严谨的规範,除了原有的资安通报外,甚至应该有的资安防护和通报应变机制以及资安事件处理等规範,都必须要能够与公务部门一致。
此外,简宏伟指出,进行机关意见徵询时,也邀情法规会和法务部针对新版的资安管理法草案做意见徵询时提到,目前对于行政部门想要行使行政检查权,政府在相关的行政裁罚法中已经明定相关的行政检查时机和过程等等,不见得需要明定在资安管理法中。
由于目前的资安管理法草案已经初步徵询机关意见,接下来,如何汇集产业对于该法的建议才是该法能否成功的关键,简宏伟也预计在2周内,将该法的草案内容放在公共政策网路参与平台中,徵询更多人的意见。? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??上週(8/28~9/3)重要资安事件回顾:※苹果修补已遭锁定的Safari及OS X漏洞
※Dropbox 2012年遭骇,6,800多万帐号密码外洩
※Mac用户当心! BT程式Transmission再被植入恶意程式
※报导:孟加拉央行资金遭盗转已半年,SWIFT警告会员新一波攻击来袭
※Mozilla推出网站安全扫描工具Observatory,免费检测网站安全技术使用状况
※俄国骇客盗卖近300万笔信用卡号码,涉38项罪名最多判刑40年?
I 相关 / Other
图片来源: LogFire 甲骨文(Oracle)昨日宣布併购设立于美国亚特兰大的云端仓储管理应用软体公司LogFire,以强化其供应链管理相关软体产品。?LogFire的云端服务将併入甲骨文的供应链管理产品线并继续销售。甲骨文供应链
依立腾男装【百店一面8S工程】专栏
百店一面8S为塑造依立腾男装终端门店视觉输出一体化、店务一体化、服务一体化,实现百店一面的品牌形象,加强终端门店标准化、规范化、系统化的营运建设工作管理,提升品牌
经济部长李世光表示,以台湾现况,光想“研究”核废料有无机会在某地储存,都不可能获同意,经济部无法独力完成,但可参考瑞典模式,启动全民沟通平台,提出合理补偿机制。李世光今天接受广播节目主持人郑弘仪专访。
新一代智慧冰箱问世,微软利用机器学习技术帮你管理冰箱中的食物
图片来源: Liebherr 未来让家里的冰箱协助食材的採购及规画就要实现了,日前,微软与德国Liebherr集团旗下的家电部门合作,共同开发Liebherr的新一代SmartDeviceBox通讯模组,能让Liebherr旗下的冰箱和冰柜变成连网装
服装店铺如果管理 了解店铺经营管理的5大知识
近些年,国内零售业发展很快,但是另一方面,商店的经营方式和内容却逐渐趋同化,许多曾经“一招鲜吃遍天”的操作方式,已经无法适应目前日益国际化的