心得:
3C產品在生活中隨處可見,按照道理來說,除了個人要有基本的資安觀念之外,
政府也應該要做好把關的責任,但根據這篇李教授的臉書發文來看,現在的主管機關
居然是有權無責?更讓人驚訝的是,應該是看守政府的馬政府居然要趕在520之前
通過資訊安全管理法,是什麼因素讓馬政府一定要趕在520前通過資安管理法呢?
有鑑於戶政系統外包中國公司,有台灣遊戲玩家在中國遊戲系統中「發現」自己的個
人資料、支付寶進入台灣、甚至是金管會要持續推行金融數位化等都與資安有關,
資訊安全管理法的制定進度是需要大家一起來追蹤的。
持續關注。
※ [本文轉錄自 Gossiping 看板 #1Mug9MJ6 ]
作者: mlda888 ((╭ ̄3 ̄)╭♡ ) 看板: Gossiping
標題: [FB] 李忠憲FB 「救命啊!資安火燒厝」
時間: Fri Mar 11 18:47:46 2016
FB卦點說明:李教授是成大電機系的教授,從去年太陽花學運時便很關心台灣科技
產業與資安等重大議題。
FB連結:https://goo.gl/lUK4oC
FB內容:
「救命啊!資安火燒厝」
4/1 私法人技服中心直接轉公法人資通安全科技中心
資安就是國安,向蔡政府的建言
資安愈來愈重要,大家都知道,這是一個國家未來資訊國力的基礎,現代化的資訊社會、
虛擬世界實體化、電子化政府、關鍵基礎設施、 物聯網和工業4.0等先進國家的命脈。台
灣的資安政策制定和管理架構混亂有目共睹,從反服貿電信時,資通訊系統和資料庫、社
群網站的中國巨量人力阻斷服務攻擊關鍵時刻媒體網站的突然失聯,各種網路的駭客
入侵、攻擊、詐騙和勒索,中國射頻生物晶片的卡式台 胞證,骨幹網路硬體(華為),
軟體(木馬APP)和網路OTT服務(樂視網),終端設備(小米)、支付寶和百度的竊取資
料和控制手機等,台灣的資安情況十分嚴峻,但是我們一直找不到一個可以負責的主管
機關。
在這種混亂無效的資安治理之下,馬政府試圖將現行以行政院資通安全會報有權無責的三
層架構法制化,並且趕在 520 前通過資訊安全管理法,目前行政院資通安全辦公室將大
部分工作調整科技部並將委辦給資策會的技服中心改制為行政法人,隸屬到科技部,法制
化資安治理混亂的現狀。資安治理不再只是學術研究或是玩票的配角,這些非資安專業
出身的舊官僚,不了解世界的脈動,人類已經進入資訊社會的現狀, 資安不再只是技術
研究導向,資安管理更加重要,因為它深深地影響每個人的生活,甚至實體的安全,當高
鐡的訊號系統或是核電廠的控制系統的防衛和受到攻擊時的反應,會是一個臨時編組的
架構,科技部行政法人可以處理的事情嗎?
資安牽涉到三個面向: (1) 政策規範 (2) 營運管理, (3) 技術與產業發展。
在美國是FCC負責政策, NIST負責技術標準, 國土安全部負責營運管理, 產業則自主發展.
資訊安全的管理要權責相符,要有公權力制裁違規或違法的事情,在營運管理和技術標準
制定方面,德國聯邦資訊科技安全局,1991 年就已經成立, 目前隸屬於內政部,負責關
鍵基礎設施,企業資訊科技安全、公民的網路安全、資訊科技能力、和刑事網路犯罪的調
查權力。合理的作法是將資訊安全管理的權責,交付給內政部,成立類似德國聯邦資訊
技術局的單位,統合警政署的資訊犯罪偵防單位,有權有責,同時發展有效的管理、技術
標準和辦法,成立這樣一個權責合一的營運管理單位,負責資安的事務。
台灣的現況是"走鐘"的資安管理體系, 技服中心負責營運管理, NCC沒在管資安, 找大學
訂資通訊產品技術規範但無力推動, 經濟部技術處與工業局想推動資安產業但不得要領,
三者通報給無技術能量的資安辦, 科技部只負責大學研究計畫。如果小英想要發展國防資
安產業, 比較好的架構是(1)營運管理歸屬內政部(因台灣沒有國土安全部), 將技服中心
納入, 且可跟警政署資訊犯罪偵防單位整合, (2)技術與產業發展規科技部, 並整併經濟
部技術處與工業局, (3)強化NCC對資安政策的規範能力,而不是把目前不健全、有權無責
的資安體系法制化。