就在7月9日,行政院資通安全處低調地發布了一份公告,預告了資通安全管理法6個子法草案內容。這個在過去一年沸沸揚揚,引起業界熱議,政客激辯的資安管理法,在5月三讀通過之後,默默地在7月初,揭露了更明確的執法細節,但,沒有引起太多討論,甚至幾乎沒有媒體報導。
但這6項子法的每一條,都將會是全臺8千多個公務機關或單位,再加上未來也會納入管理的臺灣關鍵基礎設施機構,在明年法條正式實施前,得要一一落實的要求。雖然子法草案的預告低調如斯,認真因應者,早就鴨子划水,默默展開各項作為。
這些子法分別是《資通安全管理法施行細則》草案(13條)、《資通安全責任等級分級辦法》草案(12條)、《資通安全事件通報及應變辦法》草案(21條)、《特定非公務機關資通安全維護計畫實施情形稽核辦法》草案(10條)、《資通安全情資分享辦法》草案(9條)以及《公務機關所屬人員資通安全事項獎懲辦法》草案(8條)。
看似繁多,但最重要的一項是,子法提出了全新的資通安全責任等級,將遵循機關按照各自業務內容需負起的資安責任分成了ABCDE共5級。責任越大,要求也越高。
A級機關(全國性機關為主)要求最多也最嚴,包括如處理國家機密業務的單位、國防外交單位,或涉及全國性跨機關系統的擁有者、全國性關鍵基礎設施機構以及公立醫學中心等都屬之。第二個B級機關則以區域性機關為主,例如直轄市政府或公立區域醫院等,再次一級的C級機關則是地區性機構,如縣市政府,手上擁有資訊系統主機者或公立地區醫院等。
若是沒有自行維運系統主機,但又有資訊相關業務者,也需要遵守資安法的規範,但就屬於D級機關(無主機者),例如派出所就是一個例子,發生資安事件仍須通報,但需落實的要求最低,而最後一級E級機關,就是還有一些手上既無主機,又不需提供資訊業務的機構,由上級機關統一代辦不用自行處理的機構,也算是這類不需納管的機構。
子法針對每一級都有詳細的資安責任範圍、防護要求,甚至連多久安全健檢一次,各部門主管每年要接受多久資安教育都清楚列出。行政院資安處還透露,未來還會推出資安法法規遵循指南和範本,讓執行者有所參考。
《資通安全事件通報及應變辦法》草案則訂定了一套資安事件的分級定義,這恐怕也將成為未來,討論資安事件嚴重程度的新描述方式,不只如此,資通安全情資分享辦法還讓這群機構,透過同一套資安事件描述語言,彼此互通有無,成為全臺最大的資安經驗共同體,也是新的實驗場和練兵場。
這一套規範和作法,其實不只適用於全臺8千多個公務機關或單位,連企業都可用來形容自己遇到的資安事件層級,才能更容易和業界溝通。尤其需要尋求協助時,可以有一套描述災情的最簡單明確說法。就像地震,與其描述各種災情,不如直接點明發生了震度規模多大的地震事件,能更快溝通。
就算企業不是資安法規範對象,但資安法6子法將形成一套臺灣8、9千家機構統一適用的新資安管理標準,就像ISO 27001那樣的資安作業標準一樣,成為臺灣資安界的新標準,勢必也會要成為企業CIO和資訊部門不得不熟悉的新語言。
資料來源:https://www.ithome.com.tw/voice/124545
沒有留言:
張貼留言