FineArt News

資安新知

資安法拚三讀 您準備好了嗎?

國內企業或政府機關,經常發生遭受APT攻擊、釣魚程式、勒索軟體攻擊,或發生有心人士竊取營業密秘資料等資安事件。所使用的資訊裝置,從DesktopNB、平板電腦到智慧型手機都有。若以被勒索軟體綁架電腦資料為例,它綁架電腦裡的資料,例如圖片、機密資料、重要設計圖、苦心研發出來的程式等,贖回一台的代價至少台幣7萬元起跳,比電腦本身還要貴。由此可見,在數位國土上,每個人都要具備安全意識觀念,並採取實際行動進行資安防護,就像騎車要戴安全帽一樣,降低事故風險,保障安全。並且,更需要訂定相關資安的法條,供各界遵循,以求放諸四海而皆準,以期降低並防範相關之資安風險,是一重要之課題。

處於立法階段的資通安全管理法(以下簡稱資安法),乃參考美國的聯邦資訊安全現代化法、網路安全法、日本網路資訊安全基本法、韓國情報通信基礎保護法、歐盟近日亦甫通過網絡暨資訊系統安全指令,並衡酌國情所制定。

安全的反面就是風險,資通安全法,是以風險管理的精神,來訂定資安法,以保障數位國土的安全。

資安法的立法目的,是為了要提升國內資通安全層次,由政府提供資源,整合民間力量,提升全民資通安全意識,並推動下列事項:

一、培育資通安全專業人才

二、推動資通安全科技之研發、整合、應用、產學合作及國際交流合作

三、發展及推動資通安全產業

四、發展及推動資通安全軟體、設備技術規範、相關服務及審驗機制

除了加速建構完善的國家資安環境,另一目的是要帶動我國資安產業發展,包括資安科技研發、資安服務、資安教育等產業。

詳閱資安法草案條文,其明文規定行政院應訂定資通安全責任等級之分級辦法,就辦法之適用對象、分級標準、專職人員之設置、等級變更申請等加以規定。確立政府機關資安管理架構,影響最大的是對於企業的資安規範,明訂權利義務與相關罰則,包含企業必須擬定資通安全維護計劃,負起資安維護的責任,就算委外,也須由委託機構負責而非承包商。若發生重大涉及刑責的資安事件,企業須依法進行資通安全事件通報及採取應變機制,並應妥善保全相關資料包括數位證據及軌跡記錄。在罰則上,以未訂定資通安全維護計畫罰鍰最高,最高達200萬元,並可要求限期改正,若未改正還能按次處罰。資安法草案對於非公務機關僅有罰則,未見獎勵措施,專家學者和企業代表,均反映資安法應該納入相關獎勵機制,包括納入基層人員之獎勵、於資訊月辦理表揚,亦或是將資安投資納入投資抵免之範疇,並應簡化其相關申請程序。

Security-law-draft

【資通安全管理法草案架構】以資通安全管理為核心,計有5章,共24條。(資料來源:行政院資安處,2016年10月13日草案版本)

資安法草案的法條當中,就企業組織相關的內容而言,最重要的二大項目摘要重點如下。若未能遵循,其所牽涉的罰則亦屬最重:

  1. 資通安全維護計劃
    適用資通安全責任等級分級辦法之非公務機關,應訂定、修正、實施資通安全維護計畫,並應中央目的事業主管機關之要求,提出計畫實施情形;如其實施經查核發現缺失,則應依要求將矯正計畫送交中央目的事業主管機關。(來源:草案第十六條)
  2. 資通安全事件通報及應變機制
    非公務機關為因應資通安全事件,應訂定通報及應變機制。非公務機關於發現資通安全事件時,應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交行政院。通報及應變機制之必要事項、通報內容、資通安全事件調查、處理報告、矯正計畫之提出及其他應遵行事項之辦法,由行政院定之。
    中央目的事業主管機關因查核資通安全維護情形發現重大缺失,或遇重大資通安全事件,而認有必要時,得派員攜帶執行職務證明文件,進入非公務機關場所檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。(來源:草案第十七~十八條)

前述法條當中提及”提供相關證明資料”,這代表企業於內部日常資訊流程相關作業過程,就要累積相關資安記錄資料,如果企業能夠將日常使用者的電腦、網路、軟體、檔案操作等使用行為,都能詳加記錄,才能具有”提供相關證明資料”的能力,在數位鑑識階段,方能順利進行,提出對自己有利的跡證。

企業需依據資通安全責任等級之分級,訂定資通安全維護計劃,再就計劃內容,採取PDCA的方法,循序漸進,執行計劃、執行、稽核、改善的過程。而成功執行資安維護計劃的三要素,企業可以從流程、人員、技術,這三要素,來盤點看看自身是否已經具有相關的因應準備:

  1. 流程:制訂資安維護計劃之相關作業流程,訂定相關辦法及表單,並落實執行
  2. 人員:人員是計劃執行成敗的關鍵,必須進行人員的資安宣導及教育訓練
  3. 技術:導入資安IT技術,才能做到實質的資安維護,並累積資安記錄資料

在實際行動方面,企業應檢視以下要項,看看企業自己準備好了沒?

  1. 妥善保全相關資料包括數位證據及軌跡記錄,以備主管機關必要時派員檢查,提供所需說明、配合措施或提供相關證明資料。同時,所提出的記錄資料,是否具不可否認性,也是一大重點。
  2. 建立資安風險評鑑機制,以及資安事件預防與矯正措施。
  3. 能根據職務需求,彈性調整員工可運用的網路資源,例如可設定黑白名單,禁止員工瀏覽特定網頁,以降低誤觸惡意網頁的風險。
  4. 限制員工私自安裝未經公司許可的應用程式,或禁止執行特定軟體,藉此避免惡意程式所帶來的資安威脅。
  5. 制訂與實施電子檔案備份相關作業
  6. 站在企業觀點,雲端空間資料保全,也很重要,建議以下二點供企業參考:
    1. 加密 -- 在積極面,進行事前預防
      針對無權限者,在資安政策明令禁止,在資安技術面,進行存取權的有效管控與防止。有權限者,明令檔案須事先加密,才放到雲端。
    2. 記錄 -- 消極面,疇謀事後追跡
      每位使用者的雲端存取行為都需要被詳實記錄,事件發生後,能夠有效 率地進行查詢,調出跡證,迅速水落石出。
  7. 定期檢查用戶端電腦的安全更新狀態,以增強系統防護力