【资安周报第39期】新版资安管理法草案2周内公开，八大关键基础建设产业纳入规范

行政院资安处已经于今年八月底，大幅修改旧版的资安管理法，并于九月六日举行过第一次的各机关意见征询的座谈会，行政院资安处处长简宏伟表示，接下来也将在广泛搜集产业对于资安管理法的相关意见，预计最晚在2周内，会将该分内部讨论的资安管理法草案，送到公共政策网络参与平台（简称Join平台），广泛搜集包括产业界对于该法的意见。

此外，针对这份资安处大幅修改过的资安管理法，简宏伟指出，目前草案中规范了公务机关和非公务机关，都应该受到资安管理法草案的规范，一般而言，规范公务机关如何受到该法规范，并没有太大问题，但是从旧版资安管理法草案中，多数人对于非公务机关也须受到资安管理法规范，意见颇多。

而简宏伟也确定，新修正的资安管理法中所规范的非公务机关，将以攸关民众安全相关的八大关键基础建设保护（CIP）和关键资讯基础建设保护（CIIP）的产业为主，也明确规定，未来目的事业主管机关也必须要一定的情况下，才能够行使所谓的行政检查权，避免政府扩权，也确保非公务机关的权益。

八大类关键基础设设产业，将纳入资安管理法规范

经历过第一次对政府各机关对资安管理法的意见征询，简宏伟表示，多数的机关比较担心的内容多以执行面为主，例如，是否会新增更多的行政作业程序？是否会受到重复稽核？执行程序是否变多或变得更繁琐？当然，也很一些关键基础建设的目的事业主管机关也忧心，对于没有具备足够的能力落实相关的稽核程序。整体而言，他认为，政府机关对于资安管理法仍具有一定的接受度，执行面的问题可以做更多的细部讨论做解决。

根据行政院国土安全办公室提到的关键基础建设的定义，可以归纳为：“国家公有或私有、实体或虚拟的资产、生产系统以及网络，因人为破坏或自然灾害受损，因而有影响政府及社会功能运作、造成人民伤亡或财产损失、引起经济衰退、环境改变或其他足使国家安全或利益遭受损害之虞者。”而台湾也规范了八大关键基础建设的类别，包括：能源、水资源、资通讯、交通、银行与金融、紧急救援与医院、中央政府和高科技园区等八类。

之前，资安管理法的立法方式，仿效个资法的作法，同时规范公务机关和非公务机关，其中，负责资安管理法草案的行政院资通安全办公室也承受许多来自外在团体的压力，主要就是希望可以将非公务机关不必纳入资安管理法的规范之中，直到行政院资通安全办公室将草案汇整后，转交给当时的资安主管机关科技部时，这样的争论也一直都没有解决。

从简宏伟透露的资讯可以确定，在行政院资安处新修正的资安管理法中，也站在保护民众权益的角度，确认只要是八大类的关键基础建设的产业，都纳入非公务机关的规范之中；至于台湾主要的中小企业主，之前因为担心，一旦一般企业也被纳入资安管理法的规范之后，就得另外多花费更多成本，投资在资安层面上而有所抗拒企业主，表面上也可以感到“放心”。

但事实上，企业资安一旦没有做好，纵然公司有金山、银山，也可能遭到像是公司电脑被植入勒索软件后，该勒索软件将公司所有的数位资产加密，形同公司资料“一夕被删”，更多时候，即便届时企业主想付赎金救回资料，也不见得能顺利复原相关的数位资产时，到时候欲哭无泪的就是这些不重视资安的企业主本人。

明定主管机关行使行政检查权的时机，避免政府扩权

除了明定只有部分非公务机关是纳入资安管理法的规范时，先前遭到许多企业质疑的行政检查权，也在修正的资安管理法中有比较明确的规范。简宏伟认为，因为只有部分与关键基础建设有关的非公务机关将纳入资安管理法的规范，一旦政府或者是目的事业主管机关想要行使行政检查权时，必须有一定的程序也要非常谨慎，避免造成政府扩权或滥权，危害一般非公务机关单位的权益。

毕竟，这些关键基础射箭相关单位的系统，一旦出现任何的纰漏或者是遭受到各种大规模的攻击等，民众生命以及身家财产的安全都有可能会遭到损害，政府有责任主动跳出来了解事情的原委，并协助解决。

之前曾经有发生过类似的案例，就是，远通电收ETC宣称在三小时内，遭到骇客82亿次的攻击，导致系统无法提供相关服务。当时担任政务委员的张善政则主动介入相关事件的调查，当时远通电收自认为是一般民间公司，政府不应该调查，该公司也无须在遭到攻击时，主动通报相关的主管机关。

但是，当时张善政则认为，远通电收属于政府提供的交通类别的服务，ETC一旦出包，将严重危害数百万名用路人的权益，政府应该主动介入。若以八大类关键基础设施的分类来看，远通电收ETC虽然是民间企业，但因为系统的安全与稳定的确影响许多民众的权益时，的确应该纳入政府的资安通报范围中。

前朝政府要求相关关键基础建设相关的非公务机关一旦遭到资安攻击时，都必须主动跟主管机关进行资安通报；但到了资安管理法的立法时，则对相关单位有更严谨的规范，除了原有的资安通报外，甚至应该有的资安防护和通报应变机制以及资安事件处理等规范，都必须要能够与公务部门一致。

此外，简宏伟指出，进行机关意见征询时，也邀情法规会和法务部针对新版的资安管理法草案做意见征询时提到，目前对于行政部门想要行使行政检查权，政府在相关的行政裁罚法中已经明定相关的行政检查时机和过程等等，不见得需要明定在资安管理法中。

由于目前的资安管理法草案已经初步征询机关意见，接下来，如何汇集产业对于该法的建议才是该法能否成功的关键，简宏伟也预计在2周内，将该法的草案内容放在公共政策网络参与平台中，征询更多人的意见。
                                                                        
上周（8/28～9/3）重要资安事件回顾：
※苹果修补已遭锁定的Safari及OS X漏洞

※Windows 10周年更新释出新版本，解决登入冻结问题

※饭店业资料外泄又一桩，洲际酒店集团旗下逾60家饭店遭殃

※Dropbox 2012年遭骇，6,800多万账号密码外泄

※Mac用户当心! BT程式Transmission再被植入恶意程式

※报导：孟加拉央行资金遭盗转已半年，SWIFT警告会员新一波攻击来袭

※FBI：美国两州选民数据库遭攻击，至少20万笔资料被窃

※Mozilla推出网站安全扫描工具Observatory，免费检测网站安全技术使用状况

※交易更隐匿的虚拟货币Monero正在暗网中兴起

※Opera同步系统遭骇，部分使用者帐密可能外泄

※俄国骇客盗卖近300万笔信用卡号码，涉38项罪名最多判刑40年