行政院資通安全處8月1日正式掛牌,目前編製僅21人,且尚無成立法源依據,更麻煩的是,前行政院長張善政時代訂定的相關資安法案,包括《國家資通安全科技中心設置條例》、《電信基礎設施與資源管理法》,前者遭時代力量廢止,後者則在行政立法協調會後,於上個立法院會期撤案,日前行政院對外說明,未來要求上市櫃公司「強制」設置資安部門,後來也被總統府國安辦公室方面澄清,係「規範」而非「強制」,未來資安處如何能扛起全國資安工作,頗讓外界好奇。
行政院發言人童振源則表示,資訊安全處係依據行政院處務規程成立,是行政院正式組織,負責國家資通安全基本政策訂定、國家資通安全相關法規、標準及規範、資通安全事件偵測及通報應變機制與資通關鍵資訊基礎設施安全管理機制,並不是黑機關。
《匯流五法》遭撤、資通法案無進度 資安處業務範圍仍模糊
國家通訊傳播委員會(NCC)官員指出,張善政擔任行政院院長期間,對於國家資通安全法制架構非常重視,由於目前絕大多數危害資通安全的犯罪,都是透過電信基礎網路入侵,當時擔任科技政委的蔡玉玲,即主張應比照日本總務省成立資通安全局處模式,推動行政院再造,並且將電信基礎網路等機敏設施納管。
有鑒於網路時代,網路服務到底算電信還是資訊服務,已經很難區分,當時NCC在擬定《匯流五法》時,也加入資通安全概念,《電信基礎設施與資源管理法》草案,就要求公眾電信網路,應使用政府資安認證之電信設備,網路應具資通安全偵測及防護功能之設備,電信服務若涉擁有大量民眾個資者,主管機關依法得指定為關鍵電信基礎設施。
不過,NCC《匯流五法》因為第4屆NCC委員任期屆滿,NCC委員會日前決議,將該法案自立法院撤回。行政部門資通相關法案,在立法院完全沒有處理,讓明天掛牌的行政院資通安全處,成了不折不扣的黑機關,其執掌業務範疇目前也莫衷一是。
政院:將以《資安法》為根基 完備相關子法、硬體設備
行政院科技會報執行秘書郭耀煌強調,未來《資通安全法》將是國家資通安全的最上位法律,除了規範資通安全處執掌外,也將明確要求關鍵基礎設施,強制適用國家安全規範,這些基礎設施包括發電廠、金融網路、重大交通設施與電信網路等,由國家制定資通安全規範後,再交由相關部會訂定資安子法落實。
另外,資通訊產品的資通安全審驗,雖然屬於經濟部工業局與標檢局,但經濟部長期以來都是跟隨國際規範,並無因應台灣特殊需求,訂定資通安全規格,未來資通安全法將明確要求電信機房數據交換機、基地台等資通安全設備,必須符合更嚴格的資通安全標準。 (相關報導: 行政院資通安全處將上路 藍委:政府資安「外包」問題仍未解決 | 更多文章 )
除了網路安全外,政府也將強化實體設備的安全,郭耀煌表示,資通安全處會與國土安全辦公室會合作,就關鍵基礎設施強化防護演練。
