随著国内对于资安重视程度越来越高,甚至于连政府资讯服务采购,也都透过作业指引和资安一览表的方式,要将资安规范纳入采购合约中,原本的《资安法》对于公务机关及特定非公务机关,对其资安规范不足的盲点,越来越显而易见。
再加上近几年来,公务机关和特定非公务机关也陆续爆发几起重大资安事件,也使得各界对于资安法修法的呼声越来越高。
事实上,《资安法》原先就有规定,公务机关要设置资通安全长,由机关首长指派副首长或适当人员兼任;但对于特定非公务机关,只规定要设置专职的资安人员而已。
而为了拉高特定非公务机关的资安治理层级,《资安法》此次的修法草案新增第二十三条规定,「特定非公务机关应置资通安全长,」可以由特定非公务机关的代表人、管理人、其他有代表权人或其指派的适当人员担任,而此人的主要任务就是:负责推动及监督机关内资通安全相关事务。
定义特定非公务机关的范围
《资安法》主要规范的对象,包括公务机关及特定非公务机关,其中,该法定义的公务机关,除了中央和地方政府之外,这次修正草案特别明定行政法人(例如今年1月成立的资通安全研究院)也是属于公务机关的范围,但是不包括军事及情报机关。
至于特定非公务机关的涵盖范围更广,根据《资安法》的定义,则包括:关键基础设施提供者、公营事业或特定财团法人。
所谓的关键基础设施提供者,是由行政院国土安全办公室公告的能源、水资源、通讯传播、交通、银行与金融、紧急救援与医院、中央与地方政府机关、高科技园区等八大关键领域中,相关业者所提供的服务,一旦全部或部分中断,会对国家民生经济造成重大冲击或影响的关键服务提供者,就是关键基础设施提供者。
像是:电信业者的中华电信、台湾大哥大,以及远传电信等,都是主要厂商,他们就是通讯传播服务领域中重要的关键基础设施提供者。
至于其他特定非公务机关,公营事业则包括中油、台水、台电、中华邮政等;以及特定财团法人,像是支援通讯传播、资通安全监理及相关技术与产业发展研究的「电信技术中心」等机构,这些都是《资安法》定义中的特定非公务机关。
要求特定非公务机关设资安长,接轨上市柜公司资安要求
在此次《资安法》修法草案内容中,除了原先要求特定非公务机关要设立资安专职人员的条文不变,更直接新增第二十三条,明定「特定非公务机关应设置资通安全长,负责推动及监督机关内资通安全相关事务」。
这样的法条修正方向,也符合金管会为了强化上市柜公司的资安管理机制,而修正的《公开发行公司建立内部控制制度处理准则》。
在该准则当中,要求实收资本额达新台币100亿元以上、前一年底属台湾五十指数成分公司,以及主要经营电子商务媒介商品或服务之上市(柜)公司,都要在2022年底之前,指派资讯安全长并设置资讯安全单位(包含资讯安全专责主管,以及至少2名资讯安全专责人员)。
而其余上市柜公司,除最近3年税前纯益连续亏损,或最近1年度每股净值低于面额者外,应于今年(2023)年底前,配置资讯安全专责主管及至少1名资讯安全专责人员。
由此可见,《资安法》修正草案中,新增「特定非公务机关要设立资安长」所呈现的条文修正方向,也和实务上,金管会对于上市柜公司的资安治理要求方向一致,这也让适用《资安法》所管理的公务机关,以及特定非公务机关,未来在相关的资安治理上,也能接轨上市柜公司的资安要求。
将设立资安专职人员的作法,从行政命令提升到法律位阶
过往,根据「资通安全责任等级分级办法」应办事项的规定,机关的资安等级分成A至E级,其中,要求A级机关设置四名资安专职人力,B级机关置二名资安专职人力,C级机关置一名资安专职人力。
但是,《资安法》修正草案中,不论针对公务机关(第十八条)、关键基础设施提供者(第二十条)和关键基础设施以外的特定非公务机关(第二十一条),都明定要依据相关的资通安全等级,设立「专职」的资安人员。
也就是说,以往按照相关的行政命令,要求机关和特定非公务机关都要依据资安等级设置专职资安人员,因为是由行政机关自行订定的行政命令,虽可作为法律的补充,但在抵触法律者无效的情况下,为了让专职资安的设立真正落实法制化,因此,在此次修法草案中,便将过往以行政命令规范的专职资安人员设置规定,全部列为此次的修正法条中。
资安专职人员是指:全职执行资通安全业务者,所以,如果是把资安的任务分散在不同人的身上,无法达成专职专人的设置目的,所以,机关应指定专人全职执行资通安全业务。
而且,专职人力配置的要求是以「机关」为单位,不仅资安人力不能共用,其他关于资安证照的计算,也都必须以机关作为单位分开计算。
应定义何谓资安专人专职,不应以考试维持证照有效性
不过,在公共政策网路参与平台「众开讲」中,也有网友对于资安专职人员的定义提出不同意见。
例如,在修正草案第二十一条当中,要求关键基础设施提供者以外的特定非公务机关要设置资安专职人员,有网友质疑这项要求,他们认为就连公务机关都做不到的事情,为什么要求非公务机关去做?
另外,也有网友表示,「专人」是人要专,这个工作非他不可,不可以找别人来做;「专责」是责任要专,只能负担这个工作的责任,不能负担别的责任;「专职」是职务要专,也就是只能做这个职务,不可以做别的职务。
但该名网友认为,「专职」人员跟「专责」人员的,差异在于:对资安工作投入的程度不同,前者是指全职办理资安工作的同仁,后者则是指定专人负责办理资安工作,但资安工作可以是该专责人员的兼办业务之一。
一些网友认为,《资安法》修正草案虽然明文规范「设置资安专职人员」,但这个专人的设置是可以由主管指定,主管今天想指定谁,谁就是专人专职,才不管该职务是否为法定。
若依「资通安全责任等级分级办法」的定义,「专人」、「专职」两者是一致的,无须区别;如果是得由他人「兼办」的资安业务,何者可以兼,何者不能兼,所以,网友建议,应该可将人的角色及资安业务等项目,再做更明确的规范。
此外,「众开讲」平台上也有网友认为,只设置一名资安专职人员的C级机关,其实是最可怜的,他们的工作内容不仅包山包海,更是资安加个资全餐吃到饱,所谓的「专职人员」只是口号而已;若是位居教育部底下的单位,每两年就要进行一次稽核计划,更是文职薪水却身负技术职工作,难怪人才难觅。
资安署职责不应只有看报告
对于资安署所扮演的角色,众开讲网友也提出质疑。因为修正草案第二十一条第四项规定,为了便利资安署掌握全国资通安全现况,所以特别明文要求,中央目的事业主管机关应依资安署指定的方式,将关键基础设施提供者以外的特定非公务机关稽核结果及改善报告,送交资安署。
该名网友表示,资安署只负责管考,负责看稽核结果和改善报告,但是,资安署对于这些特定非公务机关,可以提供什么样的协助呢?资安署是否应该从国家资安总体的考量下,协助相关单位做好资安,而不是只想著管考、写报告而已。
因为资通安全人员的专业知识技能,与公务机关资通安全防护能量有密切关系,为强化并提升公务机关资安专职人员的职能,也于修正草案中第十八条明定,「资安署应妥善规画推动专职人员的职能训练,增进其资通安全专业知识技能。」
「众开讲」平台上面的网友也提到,政府的资安专职职能训练,每三年要再考试一次,但这种每三年举行一次考试的作法,其实,与许多国际证照维持证照有效性的作法并不相符。
该网友希望资安署可以参考国际资安证照的作法,在资安人员于取得证照后,透过持续训练或工作的方式,以维持相关证照的有效性,而不是要求一直考照。他最后也质疑,资安署内长官们,是否也都具有相关的政府资安职能证照呢?
《资安法》修正草案重点之二的条文内容
【第十八条】
公务机关应符合其资通安全责任等级之要求,设置专职资通安全人员,办理资通安全业务及应变处理;资通安全业务绩效评核优良者,应予奖励。
资安署应妥善规划推动专职人员之职能训练,增进其资通安全专业知能;遇有重大资通安全事件,资安署得迳予调度各级机关资通安全人员支援之。
前二项人员调度支援、绩效评核、奖励及职能训练相关事项之办法,由主管机关定之。
【第二十条】
关键基础设施提供者应符合其所属资通安全责任等级之要求,设置资通安全专职人员,并考量其所保有或处理之资讯种类、数量、性质、资通系统之规模与性质等条件,订定、修正及实施资通安全维护计划。
关键基础设施提供者应向中央目的事业主管机关提出资通安全维护计划实施情形。
中央目的事业主管机关应综合考量所管关键基础设施提供者业务之重要性与机敏性、资通系统之规模及性质、资通安全事件发生之频率、程度及其他与资通安全相关之因素,定期稽核其资通安全维护计划之实施情形。
关键基础设施提供者之资通安全维护计划,应向中央目的事业主管机关提出改善报告。
中央目的事业主管机关应依资安署指定之方式将稽核结果及改善报告送交资安署。
【第二十一条】
关键基础设施提供者以外之特定非公务机关,应符合其所属资通安全责任等级之要求,设置资通安全专职人员,并考量其所保有或处理之资讯种类、数量、性质、资通系统之规模与性质等条件,订定、修正及实施资通安全维护计划。
中央目的事业主管机关得要求所管前项特定非公务机关,提出资通安全维护计划实施情形。
中央目的事业主管机关得稽核所管第一项特定非公务机关之资通安全维护计划实施情形,发现有缺失或待改善者,应限期要求受稽核之特定非公务机关提出改善报告。
中央目的事业主管机关应依资安署指定之方式将稽核结果及改善报告送交资安署。
【第二十三条】
特定非公务机关应置资通安全长,由特定非公务机关之代表人、管理人、其他有代表权人或其指派之适当人员担任,负责推动及监督机关内资通安全相关事务。