導致各系統本身無法完全控制跨網資訊傳輸的品質,影響各類服務在使用者的終端設備上所呈現的服務品質。 目前ITU剛結束於日內瓦的年會,從會中委員會對其文件是否具備國際效力之議題討論,不難看出ITU對於網際網路管理態度已由被動態度轉為積極。 未來ITU更期望,藉由年底舉行2012年國際電信世界大會(WCIT-12),重新修訂舊有國際電信規則(ITRs),引領網際網路的新秩序。 此外,在機關所擁有之資通系統[6]部分,各機關如有自行或委外開發資通系統,尚應依據分級辦法就資通系統進行分級(分為高、中、普三級),並就系統之等級採取相應之防護基準措施,以高級為例,從7大構面中,共須採取75項控制措施。 資通安全管理法 第二十二條 非公務機關無正當理由違反第十八條第二項規定者,由中央目的事業主管機關處新臺幣二萬元以上二十萬元以下罰鍰。 公務機關所屬人員未遵守相關資通安全義務,致國家或社會受有重大損害時,除依法追訴行為人相關法律責任外,並應追究行為人、其服務機關資通安全長及相關人員之行政責任。
至於對於罰則的部份,有許多公務人員認為,許多機關在沒人、沒錢甚至長官不支持的前提下,將資安落實與否列為公務人員獎懲的範圍,其實並不妥當,也無法收到正面效果。 延宕許久的《資通安全管理法》(簡稱《資安法》)終於在今年5月11日立法院三讀過關,總統府也於6月6日正式公布該法。 不過,《資安法》本身是一個提綱挈領的資安大原則,行政院資安處處長簡宏偉表示,有許多更細部的規範,則有賴6個子法進一步闡述說明。 1.適時因應法令與技術之變動,調整資通安全維護之內容,以避免資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。 除因業務需求且無其他替代方案外,不得採購及使用主管機關核定之廠商生產、研發、製造或提供之危害國家資通安全產品。 資通安全事件分為四級一般公務機密、敏感資訊或涉及關鍵基礎設施維運核心業務資訊遭輕微洩漏,即為第三級事件。
資通安全管理法: 行政院資安處完成資安管理法草案初稿(9月將舉辦了6場法案座談會,並上網徵求全民意見)
資通安全管理法規範對象為公務機關及特定非公務機關,用以推動國家資通安全政策、建構安全的資通環境、保障國家安全及維護社會公共利益,此門課將透過資安法的介紹帶入因應此法的工作重點,讓你快速掌握現行法規的實施與配合辦法。 資安法第18條要求機關應訂定資通安全事件通報應變機制,而個人資料保護法第12條亦規定有向當事人通知之義務,兩者規定雖不盡相同,惟各機關於訂定通報應變機制上,可將兩者通報應變程序進行整合,以簡化通報流程。 為使資通安全情資流通,並考量網路威脅可能來自於全球各地,資安法第8條規定主管機關應建立情資分享機制,進行情資之國際合作。
臺灣BSI針對客戶的聲明則明確指出,臺灣BSI對客戶核發的ISMS證書,除TAF認可外,也取得國際認可機構(ANAB)登錄之合法公正第三方驗證機構證書。 他指出,因為TAF是一個在地化的認證組織(AB),有自己對於在地化法遵的要求與重點,今天BSI和SGS受到減列的處分,只能說,這兩家驗證公司在此次調查結果中,針對TAF審查的重點並沒有良好的表現。 上述的種種疑問,過去一周開始於資安圈內不停擴散、恣意傳播,甚至出現種種不同的懶人包以及各種信誓旦旦的網路傳言,告知已經取得由BSI或SGS核發ISO 27001認證的企業或政府機關,如果不趕緊轉驗證,他們的證書將會失效。 因此爰引上述函釋,公立醫療機構如委託民間辦理,可視為非屬本法所稱公務機關之範疇惟其後續如經衛福部指定為「緊急救援與醫院類」之關鍵基礎設施提供者,則仍屬資安法納管對象。 [6] 資通系統之定義,依資通安全管理法第3條第1款之規定,指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
資通安全管理法: 資料來源:行政院資安處,2018年7月
不過,他也要澄清,證書有效性不在於證書掛哪一個認證機構的標誌,而是看接受證書的單位,是否承認發證單位的公正性與專業性,甚至於,如果企業用戶相信BSI和SGS的驗證,兩家公司也可以自行核發不掛任何認證單位標誌的證書。 他認為,以BSI和SGS兩家的實力和資源,只要可以針對不符合的項目進行改善,三個月後就可以重新申請增列。 但許景行也說,BSI和SGS還是其他國際認證組織ANAB以及UKAS的認可會員,顯示其他認證組織,還是認可BSI和SGS具備ISO 27001的稽核能力,只是不符合TAF的重點要求而已。 而根據ISO 第4.4.2條的規定:「認證機構應對其認證活動的公正性負責,且不應允許商業、財務或其他壓力而影響公正性。」許景行表示,今天TAF基於公正性做出減列的處分,因為市占率大造成的商業損失或不便,甚至是,是否對主管機關造成困擾,都不在TAF的職權範圍之內。
三、「技術面」 這個面向是屬於最實務面的稽查,有三個重點稽核檢測方向,包括:「資通安全防護及控制措施」、「資通系統發展及維護安全」、「資通安全事件通報應變及情資評估因應」等。 為求環境的安全性提升,定期主機與系統安全性檢測及健診是必要的,對結果確實執行修補作業並落實複測作業,以確認沒有組織不可接受的風險,在軟體部分,平時程式版本變更需求控管也是基礎要求條件。 而在實體與環境安全管理方面當然不用多加贅述,區域進出管制、門禁及監視器設置、機房環境安全管理等絕對是不可掉以輕心的日常管理作為。 一、策略面 這個面向是從組織最高處下去觀察,有三個重點稽核檢測方向,包括:「核心業務及其重要性」、「資通安全政策及推動組織」、「專責人力及經費配置」等。 另外,考核高階資訊主管對ISMS支持程度也是重點,其亦會直接反應在實質的經費、人力與教育訓練時數落實狀態上。
資通安全管理法: 資通安全管理法完成立院三讀(六月中旬總統正式公布,正式施行日期由行政院另定)
簡宏偉表示,預計年底前通過「第六期資通安全發展方案」中,其中一個最重要的精神就是要落實《資安法》 ;而《資安法》的落實就是得要把過去在執行面上有扞挌之處,以及要配合其他法條修正必須同步修法的法規,先進行法條的修正,務使法律的適用上,不會出現窒礙難行的窘境。 所以接下來我們就來談談,導入ISO 27001雖然是當前勢在必行的嚴苛之路,但是面對這些排山倒海的驗證規範與要求,有哪些建立ISMS之認證強化管理措施是我們可以先去探討的。 另外一個遭到TAF減列處分的SGS,該公司協理張日聖表示,該公司也是UKAS國際認可機構的會員,客戶如果同時取得UKAS和TAF的ISO 27001證書,即便TAF因為減列而失效,但UKAS核發的ISO 27001仍為有效的國際認證證書。 問題比較大的是,有部分只取得TAF核發的機關單位,為了維護客戶權益,SGS在取得客戶同意後,會協助以轉證的方式,以維護客戶證書的有效性。
參諸國際近年對於資通安全之保護,已逐漸以訂立專法之方式加以規範,例如:美國的聯邦資訊安全現代化法、網路安全法,日本的網路安全基本法等,歐盟近日亦甫通過網絡暨資訊系統安全指令。 我國在公務機關目前已設有資通安全推動單位與相關遵行規則,包括行政院及所屬機關資訊安全管理要點、行政院及所屬各機關資訊安全管理規範、國家資通安全通報應變作業綱要等,若能進一步透過專法之設立,賦予各機關資通安全維護義務之法律基礎,將更能有效提昇我國公務機關之資通安全能量。 簡宏偉表示,《資安管理法》就規定要明訂6個子法,而《資通安全管理法施行細則草案》主要是,針對資通安全維護計畫實施情形的稽核結果,提供相關的改善報告,包含委外和客製化系統的建置、維運和相關服務提供等,藉由稽核或其他適當的方式,確認受委託的業務執行狀況。
資通安全管理法: 資安治理成熟度評估
不過徐嘉臨也表示,具體預算數字還沒有出來,但在現行計畫中,機關將依據不同額度投入相應的資安的經費,例如,一億元的經費需投入5%或更高。 此外,過去偏重在公務機關,現在納管範圍擴大,增加特定非公務機關,也是比較不同之處,此外,還有在管理面、技術面與政策及整合面的改變。 我們幫助 86,000 多家機構在高度競爭中取得優勢,客戶範圍涵蓋了全球 192 個國家,從頂尖品牌至極具潛力的中小型企業。 身為少數對標準有全盤了解的機構之一,我們不僅稽核您符合標準的程度,更制定標準從無到有,並在全球培訓標準團隊以獲得最佳績效。 儘管面臨新的法令要求,然資安法所參照的標準是眾人智慧且經過驗證之結晶,確實地去瞭解並導入,能讓受納管之組織更容易地去落實各項法遵義務。
七、公務機關應查核其所屬或監督機關之資通安全維護計畫實施情形;受查核機關應就缺失或待改善事項完成矯正、預防報告或提出相關計畫,並將報告或計畫送交上級或監督機關(草案第十二條)。 八、公務機關應訂定資安事件之通報及應變機制,並於事件發生時,依規定向上級機關、監督機關或行政院進行通報;事件後,應分別依規定向上級機關或行政院提出事件之調查、處理及矯正、預防情形或相關計畫之報告;通報及應變機制之必要事項、通報之內容、報告之提出及其他相關事項之辦法,由行政院定之(草案第十三條)。 九、公務機關就所屬人員資通安全維護績效應有適當之獎懲,其基準及其他相關事項,由行政院定之(草案第十四條)。
資通安全管理法: ISO27001 系統歷史起源
定期召開「資通安全工作會議」及「個資隱私保護工作會議」,將資安、個資及隱私權保護管理成果,向董事會進行彙報。 一、資安專職人員請報名參加行政院國家資通安全會報技術服務中心的專業課程,並取得資通安全職能評量證書。 一、初次受核定或等級變更後之二年內,完成端點偵測及應變機制導入作業,並持續維運及依主管機關指定之方式提交偵測資料。 一、資通系統經過分級辦法就資通系統進行分級(分為高、中、普三級)並就系統之等級採取相應之防護基準措施。 核心資通系統指支持核心業務持續運作必要之系統,或依資通安全責任等級分級辦法附表九資通系統防護需求分級原則判定其防護需求等級為高者。
關鍵基礎設施提供者另依該法第16條第1項規定,須經中央目的事業主管機關於徵詢相關公務機關、民間團體、專家學者之意見後指定,報請行政院核定,並以書面通知受核定者。 須注意者為該指定行為具行政處分之性質,如受指定之特定非公務機關對此不服,則可循行政救濟程序救濟之。 行政院在制定資通安全管理法其法律結構,主要以主管機關應辦事項、公務/非機關資通安全管理、目的與罰則五個面向,轉對應到實務之資訊安全管理,若改以此 6 個面向的角度來進行相關法規遵循的執行,更容易直接整合進組織原來已熟悉且持續運作的資訊安全管理系統中。 中央目的事業主管機關得查核第一項及第二項非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受查核之非公務機關完成矯正、預防報告或提出矯正、預防計畫。 資通安全管理法2023 第十六條 除前條情形外,適用第六條第一項辦法之非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。
資通安全管理法: 資安承諾
而在資通安全管理法納管對象中,要求各種對象都必須訂定資安維護計畫,區分為「公務機關」及「特定非公務機關」,這兩者有何差別呢? 資通安全管理法 前者機關所指的是依法行使公權力之中央、地方機關(構)或公法人(如:農田水利會),但不包含軍事及情報機關;後者所指為關鍵基礎設施提供者(如:台灣電力、台灣中油、台灣自來水)、公營事業(如:台灣糖業、臺灣菸酒)及政府捐助之財團法人(如:外貿協會、工業技術研究院),除此之外,更要求組織要訂定資安事件通報應變機制,以因應隨時可能發生的資安事件。 二、管理面 該面相有三個重點稽核檢測方向,包括:「資訊及資通系統盤點及風險評估」、「資通系統或服務委外辦理之管理措施」、「資通安全維護計畫與實施情形之持續精進及績效管理機制」等。
- 其中,在身分驗證管理措施中,修法明定使用密碼進行驗證時,應強制規定最低密碼複雜度,強制規定密碼最短及最長的使用效期限制;在進行密碼變更時,則修法強制規定,不可以使用前三次使用過的密碼。
- 惟就資通安全事件通報部分,因考量其影響範圍層面較廣,故規定特定非公務機關如未依規定進行通報,則可處以30萬元至500萬元之罰鍰。
- 他說:「最重要的修法內容就是因應網路威脅增加以及技術發展提升,修正了資通安全責任等級A級、B級和C級機關的應辦事項。」《資安法》規範的對象除了公務機關外,非公務機關主要就是指關鍵基礎設施(CI)提供者和行政法人,而關鍵基礎設施提供者往往涉及民眾生活能否正常運作,因此,成為《資安法》重點規範的對象之一。
- 在文化方面,有所謂指定或登錄成有形及無形文化資產,泛指具有歷史、藝術、科學等文化價值的產物,回過頭來看我們資訊科技的面向,資訊或資料應該是現今組織最重要的無形資產,也就是因為它不一定具有形體,所以就更難去加以維運與保護,換句話說,資通訊的安全防護雖然是很抽象的概念,但卻是大家不得不面對的課題。
- 《資安法》今年3月~5月時,舉辦二階段、共計14場座談會,也事先收集各界對於《資安法》及其6大子法的建議,而在7月9日,行政院針對6個資安法子法,進行為期60天的預告期間,也會在8月、9月陸續舉辦其他的座談會。
台灣資通安全法是於2018年5月1日正式實施,旨在提升我國對資通安全的保護力度,以確保資訊安全,預防資通安全事件的發生。 鑑於資安法對建構國家資通安全環境之重要性,本會於ISMS資訊安全管理系統認證服務,後續將針對資安法要求之法遵事項,建立資安法認證特定服務計畫,另訂定認證相關法遵要求,期共同為配合推動國家資安政策盡一份心力,擴大未來認驗證之效益及影響力,更提升社會大眾對認驗證之信心。 我們以「零容忍」為目標,從源頭即落實「資通安全政策」及「隱私權保護政策」,依循ISO 27001資訊安全管理系統精神,按PDCA循環持續檢討修正,並融入在日常營運活動中,確保「零」重大資安與個資事故之發生。 行政院國家資通安全會報訂定「各政府機關(構)資訊安全責任等級分級作業施行計畫」,在此計畫中資通安全等級分為ABCDE等五個級,被歸屬於A與 B級者,必須導入完整資訊安全管理系統,並取得第三方機構驗證通過,且持續維持其有效性。 特定非公務機關依資安法第3條第6款之規定,指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
資通安全管理法: 資通安全管理法之簡介與因應
簡宏偉指出,在預告的二個月內,也會在八月和九月同步舉辦多場座談會,如果各界對於子法有疑慮或建議,可以在公開的座談會中提出相關的看法外,也可以上國發會「眾開講」的平臺表達意見;在彙整各界意見後,則會將這6個資安法相關的子法,送交立法院備查。 資通安全管理法 張日聖指出,該公司也會依照TAF規定,儘速通知客戶遭到TAF減列事宜,在減列期間,也不會核發任何掛TAF標誌的證書,但為了確保客戶權益,SGS將會同時進行申訴,並於三個月後,申請增列。 關於媒合國內供需市場方面,資安處希望政府機關提高產品的自有率,未來將輔導臺灣的資安產品上架到共同供應契約,方便政府單位採購,就長遠面向來看,期望機關能有更高的訴求,讓公部門使用國產比例拉高到80%。
二、修正依據:資通安全管理法第22條、第7條第1項、第14條第4項及第18條第4項、第7條第2項、第8條第2項、第15條第2項及第19條第2項規定。 行政院資安處處長簡宏偉表示,行政院預計在年底前,於北中南東等地區舉辦9場資安法修法說明會,預計在明年第一季,將資安法修法草案送交立法院進行三讀。 TAF針對驗證機構的調查大致可以從三個面向著手,包括:驗證流程的SOP、稽核人員的能力,以及實地看驗證機構的稽核人員如何稽核客戶的過程。 BSI以及SGS則指出,將會盡力確保客戶最大權益,兩者核發的ISO 27001證書,若上面有ANAB或UKAS國際認證組織核可的標誌,仍為有效的ISO 27001證書;若是只取得TAF單一組織認可的ISO 27001證書的單位,在取得客戶同意後,會透過轉證的方式,協助企業組織取得國際認證以維持該單位認證的有效性。 談到產安產業發展的願景,依照國家政策在這方面的規畫,是希望建立立全球資安產業創業基地,並打造臺灣產業優質安全品牌,同時,徐嘉臨也點出一些新的近況。
資通安全管理法: 資訊、個資安全管理系統
初次受核定或等級變更後之二年內,全部核心資通系統導入CNS 或ISO27001 等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準,或其他公務機關自行發展並經主管機關認可之標準,於三年內完成公正第三方驗證,並持續維持其驗證有效性。 在稽核記錄措施中,則修法明定:資通系統產生的稽核紀錄,應依資通安全政策、法規等要求納入其他相關資訊;在時戳及校時措施中,修法明定系統內部時鐘應定期與基準時間源進行同步,資通系統應使用系統內部時鐘產生稽核紀錄所需時戳,並可以對應到世界協調時間(UTC)或格林威治標準時間(GMT)。 但針在修正條文中,對A級和B級的公務機關,則要求應該都要在被核定、等級變更或者經主管機關發布的一年內,完成資安弱點通報機制導入作業;二年內完成端點偵測機制導入作業;C級公務機關則必須要二年內完成資安弱點通報機制導入;至於非公務機關中,A級和B級都必須在核定資安責任等級的一年內,完成資安弱點通報機制;C級機關則必須在二年內完成資安弱點通報機制。 他說:「最重要的修法內容就是因應網路威脅增加以及技術發展提升,修正了資通安全責任等級A級、B級和C級機關的應辦事項。」《資安法》規範的對象除了公務機關外,非公務機關主要就是指關鍵基礎設施(CI)提供者和行政法人,而關鍵基礎設施提供者往往涉及民眾生活能否正常運作,因此,成為《資安法》重點規範的對象之一。
但他也坦言,這些大範圍的機關構,所需要的稽核服務能量,不見得可以透過轉由另外四家規模較小的合格的驗證機構提供。 因為BSI的客戶都同時取得兩張證書,所以在TAF減列期間,由ANAB核發的ISO 27001國際證書仍為有效;對於BSI所提供資安管理課程和服務並不受影響;對於資安法適用組織的符合性時程,也沒有影響。 此外,關於通訊軟體安全,在資安管理法訂定之後,目前資安處也正重新檢討整個政府機關內部資訊與相關的規範,通訊軟體就是焦點之一。 對於資通安全管理法的施行,重點在於資安是持續精進的風險管理,徐嘉臨並認為,每個機關都應該把本身的資安風險辨別出來,如果做不到,就是要強化辨別資安風險的能力。 關於法規要求的資安專責人力,其實也必須是要接受訓練並取得證照,而目前也有資安服務團,在各部會協助他們配合資安管理法。 資通安全管理法自今年元旦上路,已經一個多月,對於臺灣資安法規的實施現況,是民眾關注的焦點,而隨著國際間針對華為與中製設備的爭議持續延燒,在此局勢之下,是否也能促進臺灣網路、資安設備自主研發腳步,並獲取躍上國際舞臺的機會,同樣值得注目。
