網路時代如何管控資安風險、防堵駭客入侵癱瘓,成當前最重要課題。(圖片取自TVBS新聞)
管控資訊安全、防堵駭客惡意入侵癱瘓網路系統,行政院力推《資通安全管理法》草案,但最初版本卻遭批評管太大,政府甚至有權指定任一民間企業納管。經半年來多次研修,最新修正版本出爐!《上報》取得行政院資安處提供立委的最新版草案,備受爭議的「非公務機關」範圍,已決定只限縮在三大類,除了關鍵基礎設施、公營事業,未來只要是公務機關或公營事業捐助比例50%以上的財團法人,也明確入法、一併納管。
避免擴權質疑,新版草案也決定刪除「政府有權指定民間企業」、「司法警察人員陪同行政檢查」等條款。
政府遇2大狀況有權「行政檢查」
不過,這些非公務機關,未來當發現重大缺失、或遇重大資通安全事件等兩大狀況時,政府仍有權進入這些場所行政檢查,若規避、妨礙或拒檢,可直接開罰10到100萬元。若未依法訂定、實施資通安全維護計畫,將要求限期改善,若不改善,也可開罰10到100萬元。
行政院官員轉述,資安處今天已邀各機關討論草案內容,儘管內容文字略有微調,但各機關都同意此版本的內容方向,資安處打算力拼下周四送行政院會通過。
關於「非公務機關」,不少民間團體及學者曾舉美國的資安專法「FISMA」為例,認為國外都僅規範公務機關,因此民間業者不宜納入;有學者則建議應採「日出條款」分批納管。
行政院資通安全處長簡宏偉透露,資安處採納部分民間意見,已打算「分階段上路」;新法通過後,第一波將先鎖定政府公務機關,接著才會依序處理關鍵基礎設施、公營事業,最後才會是政府捐助50%以上的財團法人。
此外,政府有權進入民間公司或財團行政檢查也遭質疑侵權。簡宏偉澄清,行政檢查與司法封鎖不同,司法封鎖需要「搜索票」,但現行行政規則就有行政檢查規定,甚至包括《漁業法》、《動保法》、《電業法》、《個資保護法》等都有類似規定,若公司有財務損失報警,才會報警交由警方處理。至於進入公司或機關主要只是「協助」,也就是確認到底是如何被駭客入侵、檢視損失,絕對不會索取個資或公司資料,而檢查人員也要簽保密文件,不可對外透露。
有人質疑「重大資安事件」該怎麼認定?政府權限是否太大?他也說,資安事件「不是我們說重大就重大」,嚴重性區可分一到四級,三、四級才屬於重大資安事件,例如大量個資外洩,或整個機關遭癱瘓無法運作;這類事件去年有9件、今年至今有3件,「比例很低」。
簡宏偉舉例,過去曾有A公司被駭客當跳板入侵、打算再入侵其他公司,但A自己並不知道,而是政府介入告知才知道,這類狀況就是政府必須介入協助及保護的案例。
新版草案在條文明確定義「非公務機關」三大類。簡宏偉說,因民間及學者專家對一次納管民間企業有疑慮,因此資安處評估後決定刪除,將非公務機關限縮並清楚定義;財團法人的部份初步研擬納入政府或公營事業捐助、捐贈比例50%以上的財團法人,但未來將會與正研擬的《財團法人法》標準一致,之後定案後再調整。
關鍵基礎設施部分,在第一版草案原本清楚寫入「八大類」,但資安處參考美國等國家,認為定義因應環境與時代變遷會有不同,甚至調整範圍,因此未來將配合行政院訂定的「國家關鍵基礎設施安全防護指導綱要」,每2年定期檢視調整。
外界關心像是臉書(Facebook)或Line等通訊軟體是否納管?簡宏偉說,資安重點在於「網路系統提供者」,臉書、Line或google等比較像是網路的「使用者」,因此不會是納管重點。
至於政府捐助的財團法人,簡宏偉表示,過去政府捐助的財團法人只能用「勸導」,未來入法可明確規範,但並非每個財團法人或關鍵基礎設施提供者的風險管理強度都一樣,而是授權主管機關來決定、並採分級方式管理,例如電業部分,供應50%以上的電廠,與供應10%的民營電廠,規定及資安管理的強度就會不同,層級低的就先從輔導開始做起,財團法人亦同,不必擔心侵權、管太嚴。
●資安專法草案最新版本
【延伸閱讀】
【熱門影片推薦】
●敘利亞撤離車隊遇襲112死 聯合國:已觸戰爭罪
●英國政壇震撼彈 梅伊宣布6月8日大選