Latest updates‎ > ‎

行政院資通安全處處長簡宏偉

擘劃資安處成為安全便利效率的行動者

新成立的資安處除了扮演國家資訊安全工作的防衛角色之外,更是資安政策的計劃者。新任首任資安處處長的簡宏偉,可說是任重而道遠。
採訪/林振輝、施鑫澤 文/林品賓



在廢止過去以任務編組型態所組成的資安辦公室之後,今年8月1日,行政院旗下負責政府資安政策制定、資安工作執行、以及資安產業發展的資安處正式成立,並且由前國發會資訊處長簡宏偉擔任首任資安處長。由於,國內資安工作千頭萬緒,加上相關工作的執行與產業發展都希望由資安處扮演領頭羊的角色,並建立相關的制度與後續發展。因此,未來資安處要如何在這些問題中理出頭緒,就有待其擘劃與努力。

扁平化政府資訊採購程序

針對資安處的成立,民間相關業者對其最大的期望,就是在困擾他們許久的採購法項目處理上。這問題過去以來,糾結了許多廠商的問題,如今有政府的專責單位可以負責,各廠商也都希望能藉此完成基礎規範的建立。對此,簡宏偉指出,有關採購的問題,原則上還是回歸到採購法上的規範。至於,過去在前行政院長張善政擔任政務委員的年代,推行資安產品採三級制,也就是一級單位小的採購由資安辦協助,而之後二、三級單位大的採購案則由科技部及技服中心來輔佐的做法,未來將改成整合資安處對上技服中心,減少科技部這一層單位作業的狀態。
對於把過去的架構減少一層的做法,簡宏偉指出,由於過去由資安辦研擬政策、科技部執行、技服中心扶佐的做法,相對上比較複雜,也容易形成中間的空隙。因此,如今資安處成立之後,取代過去資安辦進行規劃的角色,完全統籌相關事務的研擬工作。之後,進一步直接與技服中心做溝通與聯繫,讓技服中心作為資安處的執行單位,中間少掉一層結構,作法上會比較有效率,而且相關事務也容易找到專職的處理單位。簡宏偉強調,在其他國家也許有資安處統籌全部事務,包括執行人力的作法。只是,在當前國內的情況,不允許有一個單位配署這麼多執行人力的情況下,這樣的安排比較適合我們國家的需求。

建立八大基礎關鍵產業 資安監控通報機制

在扁平化政府資安處理架構的原則下,未來相關的資安工作,在由資安處研擬政策,相關單位進行委外,技服中心就負責後台監控的角色。簡宏偉指出,由於資安工作牽扯廣泛,為了要讓資安工作能做得更加完整,目前資安處正在推動「八大基礎關鍵產業」的監控與通報機制,以維護資安工作的建立與執行。
簡宏偉進一步強調,所謂的「八大基礎關鍵產業」的監控與通報機制,就是在能源、水資源、資通訊、交通、銀行與金融、緊急救援與醫院、中央政府和高科技園區等八類產業的主管機關旗下,例如銀行與金融業是由金管會為主管機關,緊急救援與醫院屬於衛福部所管轄等等主管單位中設立資安通報機制。而資安通報機制再將相關資訊傳送到資安處來彙整,如此建立一個分享、應變、監控的機制,目標是使得資安工作能夠執行的更徹底。
對於建立這樣的通報架構,簡宏偉舉出例子說明道,就以之前沸沸揚揚的事件後,一銀又收到勒索信件的事情,要求支付比特幣,否則就將要進行DDoS網路阻斷式攻擊。而無獨有偶的,就在此事件發生的同時,國內的某遊藝業者也接收到同樣的勒索信,同樣要求支付比特幣,若不支付也一樣將遭受到同樣的網路攻擊。而這兩件過去看起來近似於獨立的事件,以前因為沒有相關的通報機制,所以無法達到分享、應變、監控的工作。如今,有了這樣的通報機制,則可以判斷這是否為有預謀性的計畫,其背後除了勒索金錢之外,是不是還有測試台灣網路能承受多大攻擊能力的預謀。甚至,未來如果有相同的事件發生,這些通報個案也可以做為未來事件比對,成為找出解決方式的樣本。

資安管理法規範通報機制與風險評估

也因為要達成這樣的通報機制,目前資安處所必須要做的工作,就是建立規格化的通報格式,使得「八大基礎關鍵產業」都可以依照這樣的模式,進行通報。此外,資安處還要負責的是,就是稽核各單位是不是有做到這樣的通報機制建立,以及機制架構的規格化與標準化。而這樣制度的建立,資安處也將在未來的「資安管理法」中明列。而且,預計該法最遲將在11月送交立法院審查,期望年底前能夠順利立法後,正式上路。
針對未來「資安管理法」的內容,簡宏偉也談到,針對「八大基礎關鍵產業」通報及監控機制,除了是納入公有單位之外,未來私人機構或單位是不是也一併要納入,而且該如何納入也是要一併進行考量的。不過,在尚未進行相關討論前,資安處必須在「資安管理法」建立風險評估機制,讓這些民間單位在納入之前能有相關評估機制得以進行,而且也能讓相關的政府機關協助與應對。
而除了民間單位之外,還有地方政府的資安工作,這方面除了建立與中央政府的聯繫管道之外,資安處可以協助的事情,就是在地方政府財源、人力不足的情況下,可幫助做好資安的相關管理工作。而如何協助地方政府做好資安管理工作,在人的方面,由中央協調人事總處詢問地方政府的資安工作人員是否有放寬員額限制的可能。而在經費的部分,過去在資安項目的預算的確比較少,僅是能維持技服中心的運作而已。如今,在資安處成立後,發現有許多的工作需要執行。因此,未來將比照過去執行「電子化政府」的模式,以整筆預算來應用,協助各單位或地方政府進行資安工作的執行。

資安管理法 任重而道遠

簡宏偉表示,依行政院資通安全處研擬中的「資通安全管理法」草案,規範對象除公務機關外,非公務機關則以關鍵基礎設施提供者及適用資安責任等級分級之政府捐補助法人為主要對象,其中關鍵基礎設施包含能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院等實體或虛擬資產、系統或網路。為明確賦予政府機關善盡資安管理與防護責任,展現政府防護國家資通安全的決心,期透過本法之要求,使各機關均能獲得所需資安防護資源。
簡宏偉指出,政府目前資安人才不足之問題,期望透過「資通安全管理法」建構完整之防護體系,協助各級政府機關據以強化人才培育,提升資安人才質量,以逐步落實資安管理。至於現階段承接政府資安委外廠商則透過評鑑機制,要求廠商必須達到一定之水準,以保障政府機關資安防護之成效。
此外,「資通安全管理法」的立法宗旨,除加速建構完善的國家資安環境,另一目的即盼能帶動我國資安產業發展,包括資安科技研發、資安服務、資安教育等產業因而受惠,並非圖利特定廠商。
在有關行政檢查部分,簡宏偉解釋,政府機關進入非公務機關執行檢查,必須具備二項要件其中之一,包括因查核資通安全維護情形發現重大缺失,或發生重大資通安全事件時,在此前提下,非公務機關才不得規避、妨礙或拒絕檢查,並無存有政府侵權的疑慮。
為求法律的周延性,並徵詢各界意見,行政院資通安全處於105年8月1日成立迄今,已針對公務機關、業界及學者專家召開6場座談會,後續亦將視需要增開。此外,另藉由國發會公共政策網路參與平臺,目前亦持續徵集各界建議中,期所定條文符合國際趨勢及業務實需,以完備資安法制基礎。

藉共同系統引導資訊政策與產業發展

最後,在談到資訊軟體業的發展上,向來台灣的軟體業者在這部分與國外廠商競爭始終居於劣勢,不過,這部分卻又是未來的產業發展趨勢。簡宏偉認為,政府的責任就是應該去規劃相關的資訊政策,再藉由工業局的執行,以達到產業發展的目的。而且要強化政府部門共同系統的開發與應用這部分的功能,使政府機關不會各自為政,做自己的系統,以達到資訊系統一條鞭的做法,這樣會比期望資訊總處人、錢集中的作法更具效果。
簡宏偉進一步指出,參考國外的做法,類似未來成立「資訊總處」,下轄共同系統開發單位以及作業執行單位,透過政策的研擬,讓各單位的系統藉「資訊總處」,下轄單位開發與執行,這對政府設立「資訊總處」,是最具效益的做法。此外,透過這樣的作業流程,也引導民間相關業者能夠積極參與,創造大的商機,這也會是個正面的發展效益。至於,未來資安處在這架構下所扮演的角色,應該就是針對相關的系統做出資安的建議與輔佐功能。
簡宏偉認為,過去的資安是以法律來約束資訊的發展。但是未來,資安則是在安全、便利,以及效率當中取得平衡,而這個就是未來資安處要努力的目標。        
Comments