資通安全管理法之衝擊與影響

台灣資安法規發展趨勢

 

在此資訊科技蓬勃發展之際，以往繁雜、瑣碎、費時的公務機關運作與企業營運作業現在皆能在彈指之間完成，大幅提升了各機關與企業間資訊傳遞與交換的效能。然而，公務機關及企業在日漸依賴資訊科技的同時，「這些資訊科技應用是否存在風險？資訊的傳遞與交換是否安全？」；台灣因著政治、經濟、地理位置及網路環境的特殊性，近年來亦頻傳資訊安全、個資外洩、詐騙等案件。根據賽門鐵克於2017年4月發佈的資料顯示，台灣僅2300萬人口，卻因個資外洩案件數量排名全球第五名同為亞洲之冠(*1)，這些都逐漸成為大眾所關注的核心議題。

 

要完善因應這諸多資訊安全的相關議題則須仰賴強而有力的政策支持，台灣亦在官產學各方共同努力之下，《資通安全管理法》於2018年6月6日正式出爐(*2)，六大子法亦於同年11月21日正式公告(*3)，並於2019年1月1日正式施行。

 

資安法規擴增重點與衝擊

 

過往政府資安規範僅針對公務機關訂定，但考量許多單位核心業務對於人民生活、經濟活動及公眾或國家安全皆有重大影響，已將舊有規範對象由公務機關擴大至特定非公務機關，包括：關鍵基礎設施提供者、公營事業以及政府捐助之財團法人。而關鍵基礎設施又涵蓋了能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關及高科技園區等八大領域，影響範圍較以往擴增許多。

 

公務機關 特定非公務機關
規範對象 1.中央與地方機關、機構
2. 公法人、行政法人 1. 關鍵基礎設施領域
2. 公營事業
3. 政府捐助之財團法人(依預算法規定其營運及資金運用、年度預算書需送立法院審議、政府捐助合計超過基金總額50%)(*4)

舉例

例如：總統府、行政院、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、公立社會教育機構、公立文化機構、公立醫療機構或行政法人等。 ‧關鍵基礎設施：包括能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、高科技園區等，加上公務機關為關鍵基礎設施八大領域。
‧公營事業：中央造幣廠、臺灣菸酒股份有限公司、台灣糖業股份有限公司、中華郵政股份有限公司、中央存款保險股份有限公司…等。
‧財團法人：國家衛生研究院、醫院評鑑暨醫療品質策進會、司法院所管之財團法人法律扶助基金會…等。
特例 不包括軍事機關及情報機關
「資通安全維護計畫」乃整體PDCA的核心

 

資通安全維護計畫是各機關規劃與落實《資通安全管理法》的核心，不論是公務機關或特定非公務機關，都必須訂定及向主管機關、上級/監督機關或中央目的事業主管機關提報；然而維護計畫的產出首先要考量執行可行性、經費及人力的考量，因為後續還必須提出實施進展報告，並定期接受監督查核。

 

這對於已經導入並通過ISO 27001資訊安全管理系統驗證的機構來說，發展該維護計畫相對較為容易，可參照下表對應現行管理系統整合設計。

 

資通安全維護計畫應包括項目 ISO 27001 國際標準
1 核心業務及其重要性 4 組織全景
2 資通安全政策及目標 5.2 A.5 資訊安全政策
6.2 資訊安全目標
3 資通安全推動組織 5.3 組織角色、責任及權限
A.6.1.1 資訊安全之角色及責任
5 公務機關資通安全長之配置
4 專責人力及經費之配置 7.1 資源
A.6.1.2 職務區隔
6 資訊及資通系統之盤點，並標示核心資通系統及相關資產 A.8 資產管理
A.17 營運持續管理之資訊安全層面
7 資通安全風險評估 6.1 因應風險與機會之行動
6.1.2 資訊安全風險評鑑
6.1.3 資訊安全風險處理
8 資通安全防護及控制措施 8 實作
A.5 ~ A.18 資安控制措施
9 資通安全事件通報、應變及演練相關機制 A.16 資訊安全事件及事故管理
A.6.1.3 與權責機關之聯繫
10 資通安全情資之評估及因應機制
11 資通系統或服務委外辦理之管理措施 A.7.1 人員及廠商聘用
A.7.3 人員及廠商聘用責任之終止或變更
A.15 供應商資安管理
12 公務機關所屬人員辦理業務涉及資通安全事項之考核機制 A.7.2.3 正式懲處流程
13 資通安全維護計畫及實施情形之持續精進及績效管理機制 9 資安管理績效
10 矯正行動與持續改善
「情資分享」與「資通安全事件通報應變」

 

為了促成資通安全管理體系下之情報蒐集、趨勢分析以達到事前預警與防範，《資通安全情資分享辦法》亦參考美國《網路安全資訊分享法案》(CISA, Cybersecurity Information Sharing Act of 2015)，除了明定主管機關應就資通安全情資分享進行國際合作，並明定主管機關與公務機關及中央目的事業主管機關與特定非公務機關之間進行情資分享之規定，使各機關之間能夠全面性掌握情資情報，以提升應變效率，預防安全威脅產生之衝擊。

 

《資通安全情資分享辦法》對應《資通安全事件通報及應變辦法》乃相輔相成，未來各機關遭遇資通安全事件時，不僅要對應到自行訂定的通報及應變計畫進行通報、應變及演練，還需要將掌握到的相關情資，例如：惡意探勘活動、弱點、安全漏洞掃描行為等異常活動、與惡意程式相關之惡意指令、受控制電腦或受害者行為、惡意或可疑中繼站位址、連線方式及後門程式等分享出來。

 

值得探討的是，是不是每一個單位都有相關的技術能量或能力、人力、相關的設備軟體可以蒐集這些資訊？ 又或者最後還必須將如此高技術門檻的工作委外？同時，機關還必須注意是否有不宜分享的資訊？所以機關還需要規劃適當之安全維護計畫，例如：審核機制、存取控制措施、如何儲存與傳送等，避免情資內容、個資或依法規規定不得分享之資訊外洩，或遭未經授權之存取或竄改，例如：分享前確認是否遮蔽敏感個資、特種個資、誰可以存取這些資訊等。

 

未來，我們樂於見到不同領域的SOC能夠建立起一個完整的情蒐機制，遭大規模攻擊時可以發揮區域聯防的效益，避免災情擴大。

 

資通安全責任分級及應辦事項

 

「資通安全責任等級分級」應辦事項非常多元，分為管理面、技術面、認知與教育訓練三大類。

 

首先，管理面必須針對資通系統依據機密性、可用性、完整性、法律遵循性四個構面進行防護需求分級，分級後就得依照「資通系統防護基準」檢視機關內在各個項目是否有相關的控制措施，若是欠缺就必須想辦法補足。

 

再者，技術面要求中安全性檢測的滲透測試、資通安全防護的應用程式防火牆、進階持續性威脅攻擊防禦…等，若是屬於A、B級機關的高風險系統而原本沒有規劃，同樣也會面臨經費配置、技術管理人力或委外等議題，責任等級越高所需投注的成本將越高。

 

最後，於認知與教育訓練面，主管機關期望藉由此面向之要求大幅提升各機關對於資通安全應如何規劃與運作的了解；A級機關要求配置4位專職或專責資安人員，B級機關要求配置2位，C級機關要求配置1位，公務機關更要求必須全以專職人員配置。

 

上述三個面向對於各機關的預算資源配置、人力資源分配勢必帶來不小的衝擊與挑戰。

 

資訊安全管理系統ISO27001導入與通過公正第三方驗證

《資通安全管理法》要求A、B級機關須於兩年內導入CNS 27001資訊安全管理系統，並於三年內完成公正第三方驗證；其實先前因主管機關要求，大部分A、B級機關皆已導入與通過驗證，需要注意的是因應《資通安全責任等級分級辦法》之要求，各機關分級可能產生變動，對於新加入A、B等級的機關須針對此項要求及早準備。

 

值得慶幸的是，《資通安全管理法》與國家標準CNS ISO27001 (若國際標準ISO 27001) 的架構與要求項目一致，在導入與驗證的過程只要整合規畫即可以一套流程符合兩項要求。下表提供相關對應。

 

PDCA ISO 27001條文要求 資通安全管理法、六大子法相關要求

PLAN規劃 4 內、外部議題關注方要求 ‧資通安全管理法 (及六大子法)
‧整合民間及產業力量 (§4)
‧定期公布國家資通安全情勢報 告、對公務機關資通安全維護計畫實施情形稽核概況報告及資通安全發展方案。 (§5)
5 領導與高階管理 國家資通安全政策與總體發展策略方向 (§5) 資通安全長 (§11)
6 風險管理 資通安全責任等級 (§7)
‧資通安全責任等級分級辦法
資安目標 國家資通安全政策與總體發展策略方向 (§5)
‧資通安全責任等級分級辦法/資安治理成熟度評估
7 支援活動 –資源與能力 提升總體資通安全意識與能力 (§4)/國家資通安全發展方案
DO 實作 8 A.6.1.1 資安角色及責任 資通安全長 (§11)
A.6.1.2 職務區隔
資安專責/專職人員
‧資通安全責任等級分級辦法

 

A.6.1.3 權責機關聯繫
建立資通安全情資分享機制 (§8)
回報資通安全維護計畫實施 (§12, §16, §17)
‧資通安全情資分享辦法
‧資通安全事件通報應變辦法

 

A.6.1.4 特殊關注方聯繫

A.7.1 人員及廠商聘用
委任、委託或複委託資安事務及保密義務 (§6)
資通系統/服務委外選任、資安要求與監督(§9)

 

A.7.2.2 資安教育訓練 提升總體資通安全意識與能力 (§4)

A.7.2.3 正式懲處流程
‧公務機關所屬人員未遵守規定相關懲處(§19)
‧公務機關所屬人員資通安全事項獎懲辦法
‧特定非公務機關未遵守規定之罰鍰(§20, §21)

 

A.8 資產管理
資通安全責任等級分級辦法
‧資通系統防護需求分級原則
‧資通系統防護基準

 

A.15 供應商資安管理

委任、委託或複委託資安事務及保密義務 (§6)
資通系統/服務委外選任、資安要求與監督(§9)
稽核所屬、所管或或監督機關 (§7, §13, §16, §17)
‧特定非公務機關資通安全維護計畫實施情形稽核辦法

 

A.16 資安事件及事故管理
資通安全事件通報及應變機制 (§14, §18)
‧資通安全事件通報應變辦法
‧資通安全情資分享辦法

 

A.17 營運持續與資安持續 資通安全責任等級要求應辦事項
Check檢核

 

9 A.15 供應商資安管理
委任、委託或複委託資安事務及保密義務 (§6)
資通系統/服務委外選任、資安要求與監督(§9)
稽核所屬、所管或或監督機關 (§7, §13, §16, §17)
‧特定非公務機關資通安全維護計畫實施情形稽核辦法

 

Action行動

 

10 A.16 資安事件及事故管理
資通安全事件通報及應變機制 (§14, §18)
‧資通安全事件通報應變辦法
‧資通安全情資分享辦法

「資通系統防護基準」的控制措施構面 ISO 27001 國際標準

1 存取控制 帳號管理 A.9存取控制
最小權限
遠端存取 A.6.2 行動裝置與遠距工作

2 稽核與可歸責性 稽核事件
A.12.4.1 事件存錄
A.12.4.3 管理者及操作者日誌

 

稽核紀錄內容
稽核儲存容量

A.12.1.3 容量管理

稽核處理失效之回應

A.12.4.2 日誌資訊之保護

時戳及校時

A.12.4.4 鐘訊同步

稽核資訊之保護 A.12.4.2 日誌資訊之保護

3

營運持續計畫 系統備份

A.12.3.1 資訊備份

系統備援 A.17 營運持續管理

4

識別與鑑別 內部使用者之識別與鑑別

A.9存取控制

身分驗證管理
鑑別資訊回饋
加密模組鑑別
非內部使用者之識別與鑑別

5

系統與服務獲得 系統發展生命週期設計階段

A.14.1.1 資訊安全要求事項及規格

系統發展生命週期開發階段 A.14.2 開發及支援過程中之安全
系統發展生命週期測試階段
A.14 2.8 系統安全測試
A.14.2.9 系統驗收測試
A.14.3.1測試資料保護

 

系統發展生命週期部署與維運階段
A.14.1.2 保全公共網路之應用服務
A.14.1.3 保護應用服務交易

 

系統發展生命週期委外階段
A.14.2.7 委外開發
A.15 供應商關係

 

獲得程序 A.12.1.4 開發、測試及運作環境之區隔
系統文件 A.14.2.5 保全系統工程原則

6

系統與通訊保護 傳輸之機密性與完整性
A.10 密碼學
A.13.2 資訊傳送

資料儲存之安全

7

系統與資訊完整性 漏洞修復
A.12.6.1 技術脆弱性管理

 

資通系統監控 A.12.4 存錄與監視
軟體及資訊完整性 A.12.5 運作中軟體之控制
委外管理監督要求更加嚴謹

 

在施行細則裡提到，各機關委外辦理資通系統之建置、維運或服務時，選任及監督受託者時，應注意事項就羅列了9條，除了具備完善之資通安全管理 措施或通過第三方驗證、專業證照、提供開發系統之安全性檢測證明這些基本要求之外，更明定受託業務若涉及國家機密，相關人員應接受適任性查核，並管制其出境，顯見《資通安全管理法》對於委外監督的重視。

 

不僅規範委外廠商，同時也要求委託機關應「定期」或「知悉受託者發生可能影響受託業務之資通安全事件」時，還要以稽核或其他適當方式確認受託業務之執行情形，所以未來一但發生資安事件或事故，除了通報、應變、處置回報，並搜集、分享情資的工作之外，可能還要多這項工作了。

 

由此可知，雖《資通安全管理法》僅規範公務機關及特定非公務機關，但對於所有可能承接這些機關委外業務的委外廠商，「資通安全管理法」以及「ISO 27001資訊安全管理系統」的符合性勢必成為首要考量。

強調「向上呈報」與「向下查核」機制

 

主管機關或目的事業主管機關對於轄下機關應善盡監督之責並定期對所屬機關進行稽核或監督，以確保整體符合程度；同時明確展現PDCA精神，若查核結果發現不盡符合之處，則須於要求之時程內提出改善報告與執行結果。

 

主管機關選擇查核對象是考量其業務之機敏性、資通系統之規模、資通安全事件發生之頻率與程度、歷年受稽核之頻率與結果等等因素，也就是說，資通安全維護計畫實施的落實度並不是唯一考量，就算符合性程度高，若是經常發生資安事件或是本身業務就是高機敏性，接受稽核的頻率還是會比較高。尤其是特定非公務機關必須同時面臨中央目的事業主管機關及主管機關之查核。

 

備註參考：
*1: Symantec 2017 Internet Security Threat Report https://www.symantec.com/content/dam/symantec/docs/reports/istr-22-2017-en.pdf
*2: 全國法規資料庫/資通安全管理法 https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297
*3: 全國法規資料庫/資通安全管理法施行細則 https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030303
*4: 全國法規資料庫/預算法 https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=T0020001

資料來源：
全國法規資料庫/資通安全責任等級分級辦法 https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304
全國法規資料庫/資通安全事件通報及應變辦法 https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030305
全國法規資料庫/特定非公務機關資通安全維護計畫實施情形稽核辦法 https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030306
全國法規資料庫/資通安全情資分享辦法 https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030307
全國法規資料庫/公務機關所屬人員資通安全事項獎懲辦法 https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030308

 

與我們聯繫
SGS辦公室和實驗室
保持聯繫
台灣檢驗科技股份有限公司 (五股-白宮)
新北產業園區五工路134號
新北市, 24803
台灣
T+886 2 2299 3279
F+886 2 2299 3259