作者:黃勝雄/亞太網路資訊中心APNIC董事
提升國家資通訊安全是新政府科技政策重點之一,完成資通訊安全管理法也是新政府政策關鍵績效指標。資安政策在不同國家地區有多元的政策模式。以美國為例,美國資安法規主軸包含《健康保險課責法》HIPPA、《金融服務法》、《聯邦資安管理法》FISMA等。美國政府也不定期發佈資安策略、法遵標準、命令規則與管制措施等。其法規不僅涵蓋醫療、金融等多領域,法規並詳述技術細節,例如演算法、加密標準等。
美國綿密的資安法規對於提升資通訊安全的成效不禁令人好奇。卡內基美隆大學去年針對資安法規的有效性與缺口進行分析研究,該研究採用風險資料庫抽樣檢測法遵技術措施。令人訝異的是研究結果顯示法規方向與政策目標不一致而存在顯著缺口、研究也顯示資安法規對提升資通訊安全成效甚低。研究者探討主要原因為法遵措施技術規範模糊使法遵透明度低、影響資訊系統架構衍生資安威脅;其次原因為資安威脅成長速度遠超過法規發展與修訂速度,使得先進科技無法即時列入法遵措施強制實施。
以相同模式檢視我國資通安全管理法草案,現行草案未說明法遵技術措施,也未涵蓋重要資安元件:如風險評估、風險計畫、驗證與認證標準、持續營運計畫等。美國案例說明法遵透明度是影響資安政策成效關鍵因素,法遵透明度不足導致法規背離政策目標,也使得政策成效不彰。
法遵透明化才能呈現合理的法遵成本,國會審查資安法案時才能評估法案對利害關係人的衝擊與影響,公務機構或非公務機構依據法遵成本編列年度資安預算採購法遵技術或委外服務,避免衍生違法疑慮。如此程序方符合透明治理與課責原則,否則資安政策將淪為臆測式政策。
資安威脅已是全球共同面對的課題,雖然法規無法解決所有未來可能面臨的資安威脅,政府仍應持續擬定資安法規政策目標、加速資安法規更新速度、提升法遵透明度、量測不同產業風險因子與缺口,以提升資安法規的有效性與準確性。
