資訊安全新知分享
NEITHNET 資安實驗室
受地緣政治及AI發展影響,臺灣每週受網路攻擊的次數是全球平均的3倍以上。眾所皆知,對岸的認知戰一直都是臺灣的重大威脅,尤其疫情這兩三年更甚,一年內發動超過14億次的網路攻擊。
為了提升國家資安防護力,資通安全管理法2018年6月6日制定公布,並在2019年1月1日施行,不曾修正過。因應去年8月數位部成立,掌理國家資通安全業務,並下設資安署,掌理國家資通安全規劃、推動與執行,為了讓資安法規範更符合實務運作,2023年9月,數位部公布資安法修法方向,25號正式上路的《資訊服務採購作業指引》、《修正資訊服務採購契約範本強化資安防護》,於契約範本中增列資安基本要求及服務水準,明令禁用危害國家的安全產品。
資安法適用範圍為政府公部門和特定非公務機關,特定非公務機關主要有兩類,一類是行政院核定的八大關鍵基礎設施提供者,像是中華電信等;另一類是公營事業或特定財團法人,像是電信技術中心等。若資安事件涉及個資外洩,會先適用罰則較重的個資法。
資安法修法有5大重點:
第一:主管機關調整,讓權責更明確。
第二:明確要求公務機關不可採購與使用危害國家資通安全產品。
第三:強化公務機關資安,導入地方聯防、採分層監管模式。
第四:強化特定非公務機關的資安管理,要求特定非公務機關增設資安長。
第五:增訂政府機關資安人員類一條鞭制度。
而在資訊服務採購作業指引中,根據不同的類型,明確的定義基本要求,如下圖:
從資安政策到變更管理,再到日誌保存與人員教育訓練,全方位各方面都有要求。
雖然目前資安法適用範圍並沒有囊括民間企業,但臺灣中小企業的占比相當的高,也很容易與政府公部門與特定非公務機關有業務往來,需要知曉未來修法的方向與採購要求。即使從來不與公家單位合作的企業,也應理解相關法令法規的變化,適當的調整企業方針,以因應未來市場上的各種需求。
面對超過全球三倍的網路攻擊,政府修法從根本開始防範資安威脅,把控關鍵基礎設施及公家機關,而企業自身也應提升資安水平,因為那不只是提升企業競爭水平,同時也是提升國家整體防禦力。
資安即國安,中小企業若能提前跟進配合法規的資安要求,不僅保護自己,更能為國安盡一份心力。
更多資安訊息及防護策略,歡迎與NEITHNET資安專家聯繫:info@neithnet.com。