【520後,台美應盡快落實資安合作架構】
近期公私部門駭客入侵事件頻傳,背後並不單純,很感謝AIT的史大慶博士與我討論,分享一點想法如下:
四年前,蔡英文總統喊出「資安即國安」,並在106年的總統府資安週活動中,宣示了三項國安級的資安目標,分別是第一、打造國家資安機制,確保數位國家安全,第二、建立國家資安體系,加速數位經濟發展,第三推動國防資安自主研發,提升產業成長。然而這三項到底具體落實如何?在520前接連爆發國營事業、國內多家重要能源及科技公司接連遭勒索軟體攻擊...,要不是總統府內電腦系統遭駭,引發政治漣漪,可能還不會引起大家對資安的關注,這些只是台灣面對中國資安戰的冰山一角。
過去我曾與民間學者跟組織,共同提出「資訊長組織法」草案、以及「資通安全管理法」草案,前著試圖改造政府組織架構,賦能政府處理資訊的能力、促成政府的數位轉型,面對數位社會的重重挑戰。後者參考美國聯邦資訊安全管理法案(FISMA)的精神,明定政府資安的分工架構與職責,此外,除了在公私關鍵基礎設施劃分上謹慎處理外,也將治理、執行、標準制定、人才培育等資安的不同細部環節進行拆解,尋找妥善的單位共同配合,除了可以盡量落實中央、地方所有機關都能夠有資安觀念,也避免了日後權責不清,相互卸責的可能。
當時三讀通過的法案,是妥協下的產物,因為不同於美國的FISMA已歷經數次修改,美國從二〇〇二年開始傾全國之力不斷討論進化而來,台灣二〇一七那時無法一次到位,儘管三讀通過的資通安全管理法為政府的資安奠定了基礎,且後續子法一一出爐試圖彌補法規的模糊,終究造成最後國家資安體系打造上的差異:台灣政府資安事全分散、權責不明、拉高民間資安防護無力、人才外流、資源不足。
台灣身處中共資安戰的前哨戰,過去幾年飽經對岸的假訊息跟駭客攻擊,不單如此,中國的軟體、設備,一再爆出「裝後門」疑議,讓美國更加關注台灣的資安國力,而網絡安全是美台印太夥伴關係的重要基礎,若台灣資安能做到美方放心的標準,也更有機會促成許多高科技產業上的密切合作。因此美國在台協會(AIT)過去頻頻舉辦資安論壇、以及跨國網路攻防演練(CODE),甚至提出希望與台灣合作設立「國際網路安全卓越中心」(International Cybersecurity Center of Excellence,ICCOE),共同促進台灣及印太區域的網路資訊安全。
資安已經不只是國安,更攸關未來台灣在區域、在國際上的角色定位,也關係到台灣在未來全球產業的競合與佈局。而資訊安全不只是政院的事,新國會也應善用監督的力量,督促政府將提資安提高到國安所需的組織改造、戰略佈局、預算配置...等,協助搬開限制台灣資安發展的小石頭。
同時,台灣積極參與國際間的資安聯防已不可逆,因為我們無法憑一己之力抵抗中共的惡意攻擊,台灣應參照台美間的全球合作暨訓練架(GCTF),將國際網路安全卓越中心落地成為台美間例行的合作,透過美國的力量,提昇資安實力,加入區域聯防,如同這次防疫的卓越成果一般,能夠貢獻區域和國際。
資訊安全管理法 在 資通安全管理法 - 全國法規資料庫 的相關結果
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。 四、資通安全事件:指系統、 ... ... <看更多>