作者簡歷

作者林信忠目前服務於凌群電腦,擔任資安顧問職務。主要負責資訊安全/資訊服務/個資保護專案的規劃與執行、資訊安全產品Presale、ISO 27001認證輔導、弱點檢測滲透測試等事項，擁有CISSP、ECSAv9、CCSK、ISO 27001/20000 LAC等認證。

前言

紛擾多時的資通安全法已於107年5月11日經立法院三讀通過，6月6日總統府公布，預定按照的中央/地方政府公務機關於該法公布後6個月，其他關鍵基礎設施業者12個月開始適用的進度逐步實施；換言之繼國內與歐盟個資法(GDPR)後，又有一條資安法令引起IT用戶的普遍關注。凌群電腦為國內知名系統廠商，常會碰到主管或客戶詢問對此法的因應或準備之道，故筆者深入研究後嘗試歸納出約略的重點，俾利協助各方能盡快了解此法精隨。

資通安全法架構

資通安全管理法於107年6月6日正式公布，該法共分為五章、二十三條，其架構如下：

資通安全管理法架構如下

第一章 總則 1-9條
第二章 公務機關資訊安全管理 10-15條
第三章 特定非公務機關資訊安全管理 16-18條
第四章 罰則 19-21條
第五章 附則 22-23條

除資通安全管理這個主要架構外，行政院另公布了六個子法與說明，來補足資通安全管理法不清楚的地方。

01 資通安全管理法施行細則 01資通安全管理法施行細則總說明及逐條說明
02 資通安全責任等及分級辦法 02資通安全責任等級分級辦法總說明及逐條說明
03 資通安全事件通報及應變辦法 03資通安全事件通報及應變辦法總說明及逐條說明
04 特定非公務機關資通安全維護計畫實施情形稽核辦法 04特定非公務機關資通安全維護計畫實施情形稽核辦法總說明及逐條說明
05 資通安全情資分享辦法 05 資通安全情資分享辦法總說明及逐條說明
06 公務機關所屬人員資通安全事項獎懲辦法 06 公務機關所屬人員資通安全事項獎懲辦法總說明及逐條說明

由此可知，資通安全管理法除規範出對公務與特定非公務機關的職責與要求外，另牽涉資通安全責任分級、通報應變、稽核、情資分享、公務人員獎懲等作業；限於文章篇幅本期僅就資安法與其細則，資通安全責任等級分級做說明，其餘部分將於下期文章再與讀者分享。

資通安全管理法與施行細則

本法與細則主要包含相關用詞定義與牽涉機關間的權責關係、法律要求與罰則等。內容概分為對主管機關、中央目的事業主管機關、公務機關、特定非公務機關四種角色之職責與要求。

一、主管機關：行政院

職責與要求：

• 人才培育、資通安全科技研發、整合、國際交流、技術規範制定。


• 訂定資通安全責任等級分級。


• 稽核特定非公務機關資通安全計畫實施情形。


• 建立資通安全情資分享機制。


• 訂定通報及應變機制。


• 公告重大資安事件訊息並提供協助。


• 制定相關獎懲辦法。

其中第一點得委託其他公務機關、法人或團體代為辦理，而這些受委託機關不得洩漏前述事務相關機密。

二、中央目的事業主管機關：

職責與要求：

• 指定關鍵基礎設施提供者。所謂關鍵基礎設施乃指實體或虛擬資產、系統或網路，其功能一旦停止運作或效能降低，對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞，經主管機關定期檢視並公告之領域。只要維運或提供關鍵基礎設施之全部或部分者，即為提供者。


• 關鍵基礎設施提供者之資通安全維護計畫與缺失改善提出對象。


• 稽核關鍵基礎設施提供者之資通安全維護計畫。


• 擬定對關鍵基礎設施提供者稽核頻率、內容等事項。


• 特定非公務機關資通安全事件之通報對象。


• 檢查特定非公務機關資通安全事件之調查處理與改善情形。


• 公告重大資通安全事件相關內容與因應措施。


• 對特定非公務機關實施處罰。

三、公務機關：指依法行使公權力之中央、地方機關（構）或公法人但不包括軍事機關及情報機關。

職責與要求：

• 設置資通安全長。


• 每年向上級或監督機關提出資通安全維護計畫實施情形；若無上級機關則其資通安全維護計畫實施情形送交主管機關。


• 稽核其所屬或監督機關之資通安全維護計畫實施情形。


• 訂定資通安全事件通報及應變機制。


• 向上級或監督機關通報資通安全事件與提出調查或處理報告。

四、特定非公務機關：指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。

職責與要求：

• 訂定、修正及實施資通安全維護計畫。


• 向中央目的事業主管機關提出資通安全維護計畫實施或該計畫缺失待改善情形。


• 訂定資通安全事件通報及應變機制。


• 向中央目的事業主管機關通報資通安全事件。


• 向中央目的事業主管機關提出資通安全事件調查、處理及改善報告。

五、罰則：

• 公務機關：依公務機關所屬人員資通安全事項獎懲辦法規定辦理。


• 特定非公務機關：
  
  • 10萬元以上100萬元以下：發現沒有訂定、修正、實施資通安全維護計畫等缺失。
    
  • 30萬元以上500萬元以下：未依規定通報資通安全事件等缺失。
  
  各角色之間的關係整理如圖二，圖中加入上級監督機關讓彼此間的關係更加清楚。
  
  
  
  《圖二》資料來源：本文章整理
  
  
  另外當機關委外辦理資通系統建置維運時，須要求受託者具備完善的資通安全管理措施或通過第三方驗證等資格，且依所屬各資通安全責任等級要求配有足夠的資通安全專業人員，複委託的要求亦同。
  
  如果受託業務涉及國家機密，則該法要求執行受託業務的相關人員要接受適任性查核，並依國家機密保護法之規定，管制其出境。受託業務如包括客製化資通系統開發者，受託者應提供該資通系統之安全性檢測證明；該資通系統屬委託機關之核心資通系統，或委託金額達新臺幣一千萬元以上者，委託機關需自行或委託第三方進行安全性檢測；涉及利用非受託者自行開發之系統或資源者，則需標示非自行開發之內容與其來源及提供授權證明。

資通安全責任等級分級辦法

此辦法將責任等級分為A、B、C、D、E五級，定義如下：

一、A級

• 業務涉及國家機密、外交、國防、國土安全等事項


• 業務涉及全國性民眾服務或跨公務機關共用性資通系統之維運。


• 業務涉及全國性民眾或公務員個人資料檔案之持有。


• 屬公務機關，且業務涉及全國性之能源、水資源、通訊傳播、交通、銀行與金融、緊急救援事項。


• 屬關鍵基礎設施提供者，且業務經中央目的事業主管機關考量其提供或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性


• 認其資通系統失效或受影響，對社會公共利益、民心士氣或民眾生命、身體、財產安全將產生災難性或非常嚴重之影響。


• 公立醫學中心。

二、B級

• 業務涉及公務機關捐助或研發之敏感科學技術資訊之安全維護及管理。


• 業務涉及區域性、地區性民眾服務或跨公務機關共用性資通系統之維運。


• 業務涉及區域性或地區性民眾個人資料檔案之持有。


• 屬公務機關，且業務涉及區域性或地區性之能源、水資源、通訊傳播、交通、銀行與金融


• 緊急救援事項。


• 屬關鍵基礎設施提供者，且業務經中央目的事業主管機關考量其提供或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性，認其資通系統失效或受影響，對社會公共利益、民心士氣或民眾生命、身體、財產安全將產生嚴重影響。


• 公立區域醫院或地區醫院。

三、C級

• 維運自行或委外開發之資通系統者。

四、D級

• 自行辦理資通業務，未維運自行或委外開發之資通系統者。

五、E級

• 無資通系統且未提供資通服務。


• 屬公務機關，且其全部資通業務由其上級或監督機關兼辦或代管。


• 屬特定非公務機關，且其全部資通業務由其中央目的事業主管機關、中央目的事業主管機關所屬公務機關，或中央目的事業主管機關所管特定非公務機關兼辦或代管。

前述五種等級分別訂有所屬應辦事項，分管理、技術、認知與訓練三個面向。

一、管理面：

• 資通系統分級及防護基準：包含存取控制等7個構面


• 資訊安全管理系統之導入及通過公正第三方之驗證


• 資通安全專責人員


• 內部資通安全稽核


• 業務持續運作演練


• 資安治理成熟度評估

二、技術面

• 安全性檢測：網站安全弱點檢測與系統滲透測試


• 資通安全健診：網路架構與網路、使用者端電腦、伺服器惡意活動檢視，目錄伺服器與防火牆連線設定檢視


• 資通安全威脅偵測管理機制


• 政府組態基準


• 資通安全防護：防毒軟體、網路防火牆、郵件過濾、入侵偵測防禦、應用程式防火牆、APT防禦

三、認知與訓練面：

• 資通安全教育訓練：資通安全及資訊人員、一般使用者及主管。


• 資通安全專業證照及職能訓練證書：資通安全專業證照與職能評量證書。

茲將A~E五種等級比對三個面向應達到之要求整理如圖三



結論

因應此法筆者有三點建議

一、識別出自己公司或機關屬於公務機關或特定非公務機關的哪個角色? 責任等級分級中的哪個等級?角色職責與要求為何?責任等級應辦事項是甚麼?

二、好好研讀該法與細則說明，完成規定要做的事。比方說牽涉的角色都需撰寫資通安全維護計畫，該計畫可請組織內受過資安管理訓練的人執筆；如有疑問應充分與中央目的事業主管機關、上級監督機關、外部顧問充分溝通，建立雙向良好的關係。計畫內容需包含核心業務及其重要性等14個章節，範本可參考https://nicst.ey.gov.tw/Page/7DDA83CEE9EAB67E
責任等級的應辦事項中因牽涉到管理、技術與認知訓練等面相建議可找尋相對應的資安業者或同儕單位協助，集思廣益，一起搞清楚，搞明白該怎麼做方能在安全與便利性中取得平衡。

三、如果您是廠商身分則資通安全管理法的施行預料將帶來許多商機;但資安領域深廣且複雜，如此建議可採策略聯盟的方式廠商間互相合作推出ONE-STOP SERVICE方案，每家廠商專精在自己領域即可。此外建議廠商們宜及早導入並通過CNS27001或ISO/IEC27001標準、特別儲備應用程式/服務安全檢測的能量，此外還要留意法條中複委託方面的限制。

參考資料

1.行政院資安會報資安法專區
2.https://www.ithome.com.tw/news/123243,iThome