心得:
3C产品在生活中随处可见,按照道理来说,除了个人要有基本的资安观念之外,
政府也应该要做好把关的责任,但根据这篇李教授的脸书发文来看,现在的主管机关
居然是有权无责?更让人惊讶的是,应该是看守政府的马政府居然要赶在520之前
通过资讯安全管理法,是什么因素让马政府一定要赶在520前通过资安管理法呢?
有鉴于户政系统外包中国公司,有台湾游戏玩家在中国游戏系统中“发现”自己的个
人资料、支付宝进入台湾、甚至是金管会要持续推行金融数位化等都与资安有关,
资讯安全管理法的制定进度是需要大家一起来追踪的。
持续关注。
※ [本文转录自 Gossiping 看板 #1Mug9MJ6 ]
作者: mlda888 ((╭ ̄3 ̄)╭♡ ) 看板: Gossiping
标题: [FB] 李忠宪FB “救命啊!资安火烧厝”
时间: Fri Mar 11 18:47:46 2016
FB卦点说明:李教授是成大电机系的教授,从去年太阳花学运时便很关心台湾科技
产业与资安等重大议题。
FB连结:https://goo.gl/lUK4oC
FB内容:
“救命啊!资安火烧厝”
4/1 私法人技服中心直接转公法人资通安全科技中心
资安就是国安,向蔡政府的建言
资安愈来愈重要,大家都知道,这是一个国家未来资讯国力的基础,现代化的资讯社会、
虚拟世界实体化、电子化政府、关键基础设施、 物联网和工业4.0等先进国家的命脉。台
湾的资安政策制定和管理架构混乱有目共睹,从反服贸电信时,资通讯系统和数据库、社
群网站的中国巨量人力阻断服务攻击关键时刻媒体网站的突然失联,各种网络的骇客
入侵、攻击、诈骗和勒索,中国射频生物芯片的卡式台 胞证,骨干网络硬件(华为),
软件(木马APP)和网络OTT服务(乐视网),终端设备(小米)、支付宝和百度的窃取资
料和控制手机等,台湾的资安情况十分严峻,但是我们一直找不到一个可以负责的主管
机关。
在这种混乱无效的资安治理之下,马政府试图将现行以行政院资通安全会报有权无责的三
层架构法制化,并且赶在 520 前通过资讯安全管理法,目前行政院资通安全办公室将大
部分工作调整科技部并将委办给资策会的技服中心改制为行政法人,隶属到科技部,法制
化资安治理混乱的现状。资安治理不再只是学术研究或是玩票的配角,这些非资安专业
出身的旧官僚,不了解世界的脉动,人类已经进入资讯社会的现状, 资安不再只是技术
研究导向,资安管理更加重要,因为它深深地影响每个人的生活,甚至实体的安全,当高
鐡的讯号系统或是核电厂的控制系统的防卫和受到攻击时的反应,会是一个临时编组的
架构,科技部行政法人可以处理的事情吗?
资安牵涉到三个面向: (1) 政策规范 (2) 营运管理, (3) 技术与产业发展。
在美国是FCC负责政策, NIST负责技术标准, 国土安全部负责营运管理, 产业则自主发展.
资讯安全的管理要权责相符,要有公权力制裁违规或违法的事情,在营运管理和技术标准
制定方面,德国联邦资讯科技安全局,1991 年就已经成立, 目前隶属于内政部,负责关
键基础设施,企业资讯科技安全、公民的网络安全、资讯科技能力、和刑事网络犯罪的调
查权力。合理的作法是将资讯安全管理的权责,交付给内政部,成立类似德国联邦资讯
技术局的单位,统合警政署的资讯犯罪侦防单位,有权有责,同时发展有效的管理、技术
标准和办法,成立这样一个权责合一的营运管理单位,负责资安的事务。
台湾的现况是"走钟"的资安管理体系, 技服中心负责营运管理, NCC没在管资安, 找大学
订资通讯产品技术规范但无力推动, 经济部技术处与工业局想推动资安产业但不得要领,
三者通报给无技术能量的资安办, 科技部只负责大学研究计画。如果小英想要发展国防资
安产业, 比较好的架构是(1)营运管理归属内政部(因台湾没有国土安全部), 将技服中心
纳入, 且可跟警政署资讯犯罪侦防单位整合, (2)技术与产业发展规科技部, 并整并经济
部技术处与工业局, (3)强化NCC对资安政策的规范能力,而不是把目前不健全、有权无责
的资安体系法制化。