数位发展部资安署副署长郑欣明表示,政府资安体系的架构像是一个金字塔,最上层就是决定整体资安策略的行政院,中层则是负责规画和推动国家资安政策的主管机关:数位发展部;最下层就是负责国家资安业务规画与执行的资安署和受该法规范的公务机关与特定非公务机关。(图片来源/郑欣明)
近年来,随著各种网路威胁大增,加上有许多骇客也积极锁定一些攸关民生的关键基础设施发动网路攻击,台湾政府为了落实公务机关及特定非公务机关的资安防护,于2018年6月6日制定公布《资安法》,并于2019年元旦实施。
只不过,自从《资安法》施行迄今,中间也经历了政府资安相关组织的调整,以及社会上,对于资安重视程度的逐渐提升,让《资安法》在过去五年多的施行上,必须重新面对一些需要调整的、窒碍难行或需要查缺补漏的《资安法》条文。
一般而言,由行政机关进行修法提案是最常见修法方式,另外一种常见的修法方式就是由立法委员进行连署提案,或是由立法院党团提案,法案就可以送交审议。
至于其他比较少见的修法方式,就是依照《公民投票法》的规定由公民发起提案,若是针对全新的立法或政策进行提案,就是法案的「创制」;若是针对既有法案与政策进行变更或废止,就是法案的「复决」。
数位发展部资安署于今年7月4日,在行政院院会同意下,推出《资安法》修正条文,并送交立法院程序委员会审查提案程序是否完备,以及排定审议顺序和议程,才可以进入接下来的一读会。
目前虽然是立法院传统意义上的预算会期,但《资安法》先前已经通过程序委员会的审查,进行法律案标题进行表决,这就是立法院的一读程序。一读会如果有8位立委连署或附议并表决通过,就可以退回程序委员会重来;另外,也可以将法案交由立法院各个委员会进入委员会审查阶段,这也是各种修正法案提案最重要的阶段,在这个委员会审查阶段,可以邀请专家、学者进行听证或是说明。
委员会审查的过程中,委员会成员也可以提出修正案进行讨论和表决;另外,现在为了加速议事效率,有些法案也会进入党团协商或朝野协商阶段,如果法案顺利通过,则会进入立法院院会进行二读;如果议事冲突不断,也可以经20位以上的立委连署或附议,不再经由委员会审查或讨论,直接进行迳付二读的表决。
接下来进入二读会阶段,主要是进行相关条文的逐条讨论和表决,如果同时有立法委员对修法的法案有不同意见、提出修正案,也可以进行讨论和表决,当表决通过后,该审查条文就会进入三读会。
三读会是确认法案最终定稿的阶段,法案不再逐条讨论,而是只会针对文字进行修正,并确认内容是否有与宪法或其他法律有所抵触,如果法案通过三读会,行政院没有觉得该法案有窒碍难行之处,经总统核可而送回立法院请立委覆议的话,通过三读会的法案则会送交总统,总统会在十日内进行公布,并依照法案规定日期生效。
关于这次《资安法》的修法,数位发展部资通安全署副署长郑欣明指出,核心目标就是加强纳管机关的资安管理,同时要提升资安专业人力的素质,当面对未来可能的资安风险时,具备更完善的应对能力;当然,他说,此次借由修法的同时,将相关机关应该承担的资安业务范围明确化,同时提升资安事件的通报与应变机制,并强化对于特定非公务机关的监管。
从政策面与法律面,完善资通安全体系架构
「政府资安体系的权责架构,就像是一个金字塔,」郑欣明表示,金字塔最上层是决策层,就是负责决定国家整体资安策略的行政院;接著就是中层的规画层,这也是《资安法》的主管机关:数位发展部,负责规画并推动国家资安政策等相关事宜。
金字塔最底层的架构则略显复杂。郑欣明表示,这层有负责国家资安业务的规画与具体执行的资通安全署,这也是数位发展部所属的三级机关,负责具体规划与执行国家资安业务。
另外,《资安法》规范的对象则包括公务机关,以及特定非公务机关。他表示,对于公务机关,资安署会协助监管这些公务机关所属、所监督、所辖和所管机关的资安全管理;另外,也会协助中央目的事业主管机关,落实其辖下所纳管的特定非公务机关所应该遵守的《资安法》的法遵义务。而这些特定非公务机关,包括关键基础设施、公营事业和特定财团法人组织等。
为了落实国家资安业务规画与执行,便将「行政院国家资通安全会报」正式入法,负责担任各部会的沟通协调窗口,并由《资安法》主管机关数位发展部负责相关的幕僚作业。郑欣明表示,国家资安业务的推动分为两个面向:政策面和法律面。
政策面主要是制定国家资通安全发展方案,目前已经规画到第六期国家资通安全发展方案,重点在于资安人才培训、科技开发、民间资源防护等。资安署和各部会合作,分配相关经费来推动这些计划,像教育部的资安人才培训就是一个例子。
法律面则是以制定《资安法》和其六个相关子法:《资通安全管理法施行细则》、《公务机关所属人员资通安全事项奖惩办法》、《资通安全责任等级分级办法》、《资通安全事件通报及应变办法》、《特定非公务机关资通安全维护计划实施情形稽核办法》以及《资通安全情资分享办法》,作为公务机关以及特定非公务机关法遵的参考依据。
郑欣明表示,政府制定了《资通安全管理法》,并通过执法规范各机关的资安工作,而《资安法》主要分成两个面向:一是资通安全维护计划,每个机关需要制定并报告其执行情况;二是资安事件应变机制,要求机关设立通报机制,并在事件发生时能迅速处理和改善。
他指出,此次修法也强化国家资通安全会报的功能,并且明定所有公务机关的协力义务;资通安全会报主要分成由数位发展部负责的「网际防护体系」,以及由内政部、法务部负责的网际犯罪侦防体系。其中,各个政府机关、中央及地方政府之间,则应该全力配合推动国家资通安全措施;而相关政府部门应该执行相关的决议事项,并由主管机关定期追踪管考,并办理绩效评核。
将禁用危害国家资通安全产品正式入法
《资安法》修正案在行政院通过后,已经进入立法院进行审议。这次修正案的主要目标是进一步加强公务机关和特定非公务机关的资安管理。
纵观《资安法》修正草案,共三十五条,共分成总则、公务机关资通安全管理、特定非公务机关资通安全管理、罚则和附则。
郑欣明指出,这次修法是滚动调整资安法制,落实智慧国家愿景。为了做到强化纳管机关资安管理,以降低机关资安方险为目标,增修危害国家资通安全产品条文,强化外部监管措施,以及提升重大资安事件调查权限;在精进资安人力策略上,就是以提升人员专业知能为目标,希望可以做到专职人员配置、职能训练、适任性查核以及调度支援等面向。
他表示,这次修法也新增一些原本函式或是行政命令的条文,引发最多人关注的就是危害国家资通安全产品相关规范,依照《资安法》规范对象不同,依照公务机关以及特定非公务机关而有不同规范要求。
他进一步解释,禁用危害国家资通安全产品的限制范围,包含公务机关本身,公务人员配发的公务用资通讯设备,以及提供公众视听或使用的传播设备及网际网路接取服务,原则上都不得下载、安装或使用,除非因为业务上的需要且没有其他替代方案者,可以专案申请使用。
至于特定非公务机关本身,或者是提供公众视听或使用的传播设备及网际网路接取服务,若有维持资通安全的必要时,原则上,可以由中央目的事业主管机关予以限制或禁止使用,同样的,若有业务需求且无其他替代方案者,可以专案申请使用。
面对外界质疑为什么不公开相关的禁用清单,郑欣明解释,因为清单一旦公开,就可能会引发贴牌的疑虑,或者是设法规避;另外有一些情况是公务机关或是特定非公务机关在采购当时,该产品并不在禁用产品的清单范围内,后来因为某些原因,导致该产品的业者成为中资等情况,但他说,目前该条文的规范比较偏向「不得下载、安装的使用,而不是去限制采购时,因为资讯不足造成采购人员无意中购买到禁用产品。」他说。
所以,以资安署的作法,则会将这些禁用清单设计成如同情资,定期更新,会且会把相关情资提供给公务机关、特定非公务机关,以及其中央目的事业主管机关,并由这些单位自己去决定是否要禁止或限制,这样的话,让大家比较不会有相关的疑虑,也提供例外的决策空间,让危害资通安全产品的使用可以更有弹性。不过,他也同意,未来该如何推动危害国家资通安全产品的禁用与政策执行,资安署还需要花许多时间和政府机关同仁进行政策沟通和推动。
强化纳管机关的稽核范围及具有重大资安事件调查权
「强化对公务机关和特定非公务机关的分层监督和管理,是《资安法》修正条文中很重要的修法精神。」郑欣明说道,对公务机关而言,就是要做到强化联防体系,做到分层监督管理模式的调适;对特定非公务机关来说,则是强化对重大资安事件的调查权限。
包括总统府、国安会和五院(行政院、立法院、司法院、考试院和监察院),以及直辖市政府、县(市)政府、地方议会、直辖市山地原住民区公所、直辖市山地原住民区民代表会、乡(镇、市)公所以及乡(镇、市)民代表会等单位,都是没有上级机关的公务机关,依照原本的《资安法》规定,并没有办法进行任何的外部稽核机制。
一般而言,上级机关对下级机关的稽核,就是第二方稽核,但面对这些没有上级机关的公务机关,其实是缺乏稽核机制,这时候,往往需要透过协力厂商来确保这些单位的安全性。但事实上,这些缺乏上级机关的单位,很难透过稽核方式去确认,相关公务机关是否有按照资通安全维护计划去落实和执行。
郑欣明表示,为了修正《资安法》现行对公务机关的规范限制,所以修法时,先是扩大稽核范围,未来,资安署得稽核所有的纳管机关;再者,为了强化地方联防,包括直辖市、县政府可以纳管直辖市山地原住民区公所、直辖市山地原住民区民代表会、乡(镇、市)公所,以及乡(镇、市)民代表会等单位。
不过,公务机关有上千个,资安署一定是挑选重要的A级机关、B级机关做稽核,「稽核的重点不是鸡蛋里面挑骨头,反而是透过资安健康检查的概念,是否如何依照资通安全维护计划执行和落实。」这也是他为什么都会跟稽核委员强调,不要太在意枝微末节的红字缺失,关键在于发现造成这些缺失、红字的根因,找到核心问题所在。
他说,目前资安署也已经开始透过用AI的方式,统整相关的稽核资料,协助稽核员找到机关长久以来的核心问题,就像是医师用AI先去汇整病例资料,发现可能的问题,在透过实际看诊(实地稽核)的方式去发现问题、解决问题。「这也是资安署针对资安稽核持续精进的方式。」他说。
此外,此次修法也加重中央目的事业主管机关,对于特定非公务机关发生重大资安事件的调查权限。他进一步解释,当特定非公务机关爆发重大资安事件时,其中央目的事业主管机关可以依据《资安法》修正条文的授权,对该起重大资安事件展开调查,能让主管机关迅速掌握情况,并进行适当的调查与处理,避免事后出现无法了解事故原因的情况。
调查的对象,不仅可以调查特定非公务机关的当事人,也可以调查受托的资讯厂商,即该起重大资安事件的关系人。郑欣明表示,《资安法》也明确规范调查程序,通知当事人和关系人到场陈述意见外,通知提出独立第三方机构出具的鉴识或调查报告,也可以前往受调查者处所实施必要的检查。当然,他强调,受任或受托调查者,都具有保密义务,不得泄漏获悉的秘密。
针对资安人员进行适任性查核,高考三级设立资通安全类科
在这次《资安法》的修订,不仅强化对公务机关和特定非公务机关的分层监督与管理,此次修法,也精进资安人力策略,要求这些机关设立资安长等专责人员外,也要确保负责资安业务的人员具备适任性,特别是对于政府机关中的重要部门;同时加强《资安法》罚则,对于违反资安规范的机关和个人,都设立更明确的处罚规定。
「适任性查核是这次修法的核心之一。」郑欣明表示,负责资安业务的机关内人员,尤其是处理机敏资料的单位,都必须经过适任性查核。他解释,这并不像特别查核那样严格,而是供机关主管根据查核结果,决定是否聘用某人从事资安业务的程序;如果该人员未通过查核,仍可在不涉及机密的其他业务中工作,而并不影响其公职权利。
他指出,进行适任性查核的政策目的是,当需要处理特别机敏的资安业务时,确保承办人员已通过适任性查核,从而提高机关内资安工作的效率与安全性。
为了提升公务机关的资安人力,资安人员任用考试榜示后,数发部资安署对录取人员进行适任性查核;用人机关则对所属资通安全专职人员进行适任性查核,如果拒绝查核或不符合查核规定,则不得办法涉及国家机密、军事机密及国防秘密的资通安全业务。
此外,在资安事件发生时,政府机关内部资源的有效调度至关重要。修法后,当公务机关爆发重大资安事件时,资安署可以调动各级资通安全人员进行支援。这项措施的目的,不仅是提高资源运用效率,也是为了强调资安专职人员的重要性,这样的调度支援也视为在职训练的一环。
目前,台湾的资安人力资源不足,资安专职人员也未能形成统一的管理系统。因此,趁此次修法之际,也提出希望建立资安人员一条鞭的概念,由资安署或数位发展部负责统筹和配置资安人力。然而,目前台湾尚无正式的资安职系,现行的资安人员大多属于资讯处理职系,这使得资安一条鞭的落实存在挑战。
为了解决资安人员不足的问题,今年首先在高考三级的国家考试设立「资通安全类科」,以增加政府机关资安人才的征才管道。郑欣明表示,这是从无到有的创举,并已在今年顺利举行第一次考试。这项考科涵盖资安概论、资安管理、资通安全法令与规范,以及资通安全防护技术,内容也与《资安法》密切相关。
郑欣明表示,通过「资通安全类科」这样的考科,希望能吸引并鼓励机关非正式人员踊跃报考,并逐步推动成立资安职系。「当资安人力稳定后,我们才有可能实现资安一条鞭的全面实施。」他说。
数发部和资安署在职能发展方面,持续推动资安职能训练、评量及核发资安职能证书,逐步建立资安人才资料库,以协助用人机关检视资安专业能力;用人机关则公布职缺,提出包括外补或内升的征才需求,对于办理资安业务绩效优良者给予奖励,未依资安法规定办理者,按照情节轻重,予以惩戒或惩处。
资安署副署长郑欣明表示,今年在高考三级的国家考试中设立了「资通安全类科」考试,希望可以增加政府机关资安人才的征才管道,未来才可能进一步推动成立资安职系。
资安长和资安专责人员的角色与培训
不仅推动《资安法》的修法调整,资安署还著手推动资安人员的训练和发展。这包括资安长、资讯主管、资安专职人员的训练,以提升他们的专业技能和管理能力。
在政府机关中,资安长的角色至关重要,政府机关的资安长职位多由副首长担任,这样才能拥有足够的权力进行资源协调与沟通,郑欣明表示,虽然公务机关的资安长未必是资安技术专家,但透过资安署提供的培训,期望资安长能具备足够的知识,来作出正确的决策。
目前政府机关的资安长大约二百名,每年至少要有三小时以上的资安通识教育训练,并且提供资安数位学习的线上课程外,每年还会举办资安长共识营,以及中央与地方政府资通安全长会议。
至于政府机关的资讯、资安主管大约五百名,每年至少需要三小时的资安通识时数,同样有资安数位学习的线上课程外,职能训练课程以策略面为主,另外也会举办资讯(安)主管治理研习。
公务机关的资安专职人员大约有一千五百名,每年至少要完成十二小时的资安专业续训练时数,以及资安数位学习线上课程,以及针对策略面、管理面和技术面的职能训练课程外,还有包括:资安人员专业训练、稽核员训练、政府资通安全巡回研讨会、资安技术工作坊和资安菁英人才培训等资安职能和增能训练。
郑欣明表示,资安署从今年下半年开始,针对不同层级的资安专职人员设计了不同的课程内容,涵盖技术面、管理面和策略面。我们根据机关的类别,为A、B、C级机关的资安人员设计量身定制的课程,每个人都有参训机会,但机关得保留一定人力;为了增加机关之间的联系,相关课程以团队合作活动和分组研讨为主,让建立关系与专业知能同步并进。
他指出,训练课程内容依照制度面向分类,而机关可以依照策略、管理和技术面向参加调训;为了强化区域联防,也会在北中南东部区域举办一日课程。
他表示,为了实现资安人员一条鞭的目标,资安署还与人事总处合作,推动调训模式,让公务机关的资安专职人员接受统一训练,并通过团队合作和研讨增强彼此的协同作战能力。
另一项重大变革是针对特定非公务机关,要求其设置资安专职人员及资安长。目前许多非公务机关内的资安专责人员,往往需同时兼顾多项业务,但最终还是希望这些资安专责人员,都能更专注于资安工作。此外,希望借由中央目的事业主管机关,可以制定更具约束力的资安奖惩制度,确保非公务机关能有效落实资安工作。
除了基础的资安技能训练外,资安署还与资安院合作推出「资安精英人才培育计划」,这项计划针对具有高阶资安技术需求的人员提供更深入的课程。课程内容由国际知名讲师授课,并提供实作环境,主要在培养资安领域的精英人才。他强调,这项培训课程完全免费,且不仅限于公务部门,民间企业的资安人员也可以参加。
《资安法》的修订重点包括强化纳管机关资安管理,以及精进资安人力的策略,希望可以通过适任性查核、考科设立、资源调度、以及多层次的训练,提升台湾整体的资安能力。他表示,随著资安专业化的推进,未来可以形成更为完整的资安职系,实现真正的资安一条鞭,将有助于确保国家和企业在资通安全方面有更强大的防护力。