資安法實施後的問題與未來修法的方向
資安法實施後的問題與未來修法的方向
深入探討臺灣資通安全管理法實施至今所面臨的挑戰,以及未來法規修正的可能方向,共同擘劃更安全的數位未來。
資安法實施後的問題與爭議
金管會對資安署稽核一、二級公務機關及特定非公務機關的權責提出疑慮,認為可能與相關業法權責劃分不符,建議審酌其妥適性。
卡通風格:一個卡通化的發電廠和水庫(關鍵基礎設施)頭上冒出大大的問號,旁邊有兩份文件,一份是「指定基準」,一份是「核定清單」,兩者內容有些許差異,顯得不一致。
對於中央目的事業主管機關公告的指定基準與行政院核定清單不符時的法規效力,以及指定程序的必要性,金管會建議再審酌。
卡通風格:一棟卡通化的總統府或五院建築,門口掛著「謝絕外部稽核」的牌子,旁邊有一個拿著盾牌的「資安聯防」小隊,但這棟建築無法加入。
現行法規對無上級機關的公務機關(如總統府、五院、地方縣市政府)缺乏外部稽核機制,且無法納入資安聯防體系。
卡通風格:一個天秤,一端放著厚重的「稽核法規」砝碼,另一端只有一張薄薄的「情資分享」紙片,天秤嚴重傾斜。
專家認為現行資安法過度強調稽核,相關條文繁多,而情資分享僅一條規定,削弱了其重要性。情資分享應為資安核心。
卡通風格:一位資安署的卡通人物被堆積如山的「責任等級核定」、「改善報告」文件淹沒,手忙腳亂,滿頭大汗。
資安署需核定或備查責任等級、收受改善報告等,業務量龐大。專家建議法遵稽核責任應回歸各機關研考單位,技術面可委外。
卡通風格:一間特定非公務機關的辦公室內,一張標示著「資安專員」的辦公桌空無一人,旁邊的電腦螢幕顯示著資安威脅警報。
面對日益嚴峻的資安威脅,特定非公務機關需投入專職人力持續進行資安作業,以強化防護量能並及時應處。
卡通風格:一個蹺蹺板,一端坐著「公務機關人員」(旁邊有獎盃和罰單),另一端坐著「特定非公務機關人員」(旁邊空空如也),蹺蹺板不平衡。
公務機關有獎懲辦法,但特定非公務機關未明確增訂,可能影響其人員對資安工作的重視程度。
資安法的修法方向
卡通風格:一張清晰的組織圖,頂端是「行政院」(戴著皇冠的卡通人物,思考策略),下方是「數位發展部」(穿著科技感服裝),再往下是「資通安全署」(拿著盾牌和工具的執行者)。
修法將明訂數位發展部為主管機關,資安署辦理業務,行政院決定整體策略,以落實各機關法遵義務。
卡通風格:資安署的卡通偵探拿著一個更大的放大鏡,稽核範圍從原本的幾棟建築擴大到包含總統府、五院、地方政府等更多建築。
資安署可稽核所有公務機關,包括無上級機關者,擴大聯防機制,並修正維護計畫實施情形的收受及稽核機關規定。
卡通風格:一份稽核報告(上面有紅色的叉叉表示缺失)被傳送到資安署卡通官員手中,官員正在和受稽核機關的卡通代表討論,旁邊有箭頭指示「改善」。
公務機關稽核缺失的結果及改善報告應送交資安署,資安署可要求說明或調整。特定非公務機關亦同。
卡通風格:一群卡通人物(公務機關和特定非公務機關代表)正在進行資安演練,有的在電腦前通報,有的在應對模擬的攻擊(如卡通病毒圖案)。
定明公務機關及特定非公務機關應配合辦理資通安全事件通報及應變機制之演練作業授權項目。
卡通風格:一位身披斗篷、胸前有「CISO」字樣的卡通英雄(資安長),帶領著一群穿著制服的「專職人員」小隊,精神抖擻地保護著機構。
增訂特定非公務機關應設置資通安全長,並符合責任等級要求設置專職人員,強化資安防護量能。
卡通風格:特定非公務機關的卡通員工因表現良好獲得獎牌,另一位則因疏失受到警示,旁邊有明確的「獎懲條例」看板。
增訂特定非公務機關對所屬人員辦理資通安全業務的獎勵及懲處規定,以促進其重視資安工作。
卡通風格:發生重大資安事件(如伺服器冒煙),主管機關的卡通調查員(戴著帽子,手持記事本和放大鏡)正在現場進行調查,相關人員配合提供資料。
增訂中央目的事業主管機關對特定非公務機關重大資安事件的行政調查權限,受調查者不得規避,並定明罰則。
卡通風格:一個巨大的盾牌(代表國家安全)擋住了一個帶有骷髏頭標誌的惡意晶片或軟體,旁邊有「禁止使用」的紅色標誌。
針對新興攻擊,明訂危害國家資通安全產品的規範,並增訂特定非公務機關限制或禁止使用該類產品的管控措施。
卡通風格:資安署的卡通官員將一份「委託書」交給另一位公務機關的卡通代表,雙方握手合作,旁邊有「保密協定」的卷軸。
增訂資安署委託其他公務機關辦理事項的依據及受委託者的保密義務,並增訂主管機關協調指定中央目的事業主管機關的權責。
卡通風格:一份標示「個人資料」的文件發生外洩(紙張飛散),旁邊有兩條路徑,一條指向「資安法處理流程」,另一條指向「個資法處理流程」,強調需依個資法處理。
增訂資通安全事件如涉及個人資料外洩,應另依個人資料保護法及其相關法令規定辦理。
沒有留言:
張貼留言