第二章 政府資訊服務採購制度簡介
第三節 資通安全規範
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
34
訂定「行政院及所屬各機關改善政府資訊服務環境作業參考要項」,
適用標的為機關辦理公告金額110以上之資訊服務採購案,其作業要項 包括:機關評估須建置資訊系統者,於辦理採購作業時,宜以軟體開 發為優先,配合上線作業期程交付硬體設備,並調整預算配置及付款 期程,落實先軟體後硬體原則111,以及兼顧公務需求,與產業發展訂 定智慧財產權及授權規定,約定由機關取得智慧財產權者,機關得授 權廠商使用、修改或改作後再行販售等商業化行為等112。
第三節 資通安全規範
第一項 全國性規範
除了上述技術規範以外,重要的資訊安全議題也必須納入資訊服 務之範圍,目前我國資通安全相關法規,詳如表2-3:
類別 法律規範
電腦犯罪 刑法第36 章妨害電腦使用罪 身分認證 電子簽章法
電子簽章法施行細則 外國憑證機構許可辦法 通訊保障 通訊保障及監察法
通訊保障及監察法施行細則 電信法
資料保護 個人資料保護法
個人資料保護法施行細則 金融控股公司法
http://www.pcc.gov.tw/pccap2/BIZSfront/MenuContent.do?site=002&bid=BIZS_C10105894 (最後瀏 覽日:2017 年 7 月 26 日)
110 公告金額:工程、財務及勞務採購為新臺幣一百萬元。行政院公共工程委員會 88 年 4 月 2 日(88)工程企字第 8804490 號函訂定。
111 採用先軟後硬作法,透過平台資源進行軟體先期研發,避免先期採購硬體不符需求或閒置浪 費,從而逐步提升產業體質。載於經濟部委託資策會之雲端運算應用與產業發展方案核定本,
頁25,2012 年。
112 行政院公共工程委員會網站,
http://www.pcc.gov.tw/pccap2/BIZSfront/MenuContent.do?site=002&bid=BIZS_C10112685
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
35
類別 法律規範
銀行法 醫療法
醫療機構電子病歷製作及管理辦法 人體生物資料庫資訊庫管理條例 人體生物資料庫資訊安全規範 資訊公開與機密
保護
國家機密保護法
國家機密保護法施行細則 檔案法
檔案法施行細則 政府資訊公開法
政府管理 行政院及所屬各機關資訊安全管理要點
表2-3 我國資通安全相關之法律與規範
資料來源:陳啟川,以風險管理為核心的資安專法,2017 年 1 月 19 日發表,載於資安 人科技網,http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=8395
行政院國家資通安全會報自 2001 年起執行「建立我國資通訊基 礎建設安全機制計畫」,主要政策包含政府機關資訊安全長責任制度、
資訊安全責任等級分級作業,及機密資訊保護等,對強化政府機關之 資通安全能力產生影響力113。2005 年至 2016 年,行政院賡續推動「建 立我國資通訊基礎設施安全機制計畫(2005 年至 2008 年)」及「國 家資通訊安全發展方案(2009 年至 2012 年)」,「國家資通訊安全 發展方案(2013 年至 2016 年)」,成為各行政機關現階段推動辦理 資通訊安全防護計畫之重要依據114。
行政院國家資通安全會報技術服務中心負責研訂或蒐集各項共 通規範,如「政府資訊作業委外安全參考指引」、「政府機關(構)資 通安全責任等級分級作業規定」、「資訊系統分級與資安防護基準作
113 劉建良,資安法規面面觀,清流月刊,2009 年 7 月號,法務部調查局網站,
https://www.mjib.gov.tw/FileUploads/eBooks/14cedbd3177f4bd1999a7e3005868b37/Section_file/4bd ecafc75c544adbfc3a70ad3f2b117.pdf
114 行政院國家資通安全會報網站,http://www.nicst.ey.gov.tw/cp.aspx?n=2C3EAFE096F5A753。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
36
業規定115」、「國家資通安全通報應用作業綱要」、「資訊安全業務 內部控制制度共通性作業範例(科技部版)」及「我國電腦機房異地備 援機制參考指引」等。2014 年委託資策會訂定「安全軟體發展流程指 引」116。
另於 2016 年訂定「資訊系統委外開發 RFP 資安需求範本」,提 供機關於資訊系統委外,訂定建議書徵求說明書(RFP)時,有關系統 資訊安全需求之參考依據117。
經濟部標準檢驗局訂定多項資訊安全國家標準,包括「資訊安全 風險管理國家標準規範」、「CNS 27010 跨部門及跨組織通訊之資訊 安全管理國家標準」、「CNS 27014 資訊安全治理國家標準」、「CNS 27001 資訊安全管理系統國家標準」、「CNS 29100 資訊安全個資管 理國家標準」、「CNS 27032 資訊技術–安全技術–網際安全指導綱 要國家標準」、「CNS 29191 資訊技術—安全技術—部分匿名及部分 去連結鑑別之要求事項國家標準」、「CNS 27016 資訊技術–安全技 術–資訊安全管理–組織經濟學」、「CNS 27018 資訊技術–安全技 術–公有雲PII 處理者保護個人識別等」118。
第二項 個別產業規範
個別產業資安規範方面,經濟部工業局基於行動應用 App 軟體 個資保護等資安議題需要,並兼顧產業發展立場,於同年 10 月委託 資策會,於2016 年 2 月底完成「行動應用 App 基本資安規範」、「行
115 2015 年 7 月修正,原名稱為資訊系統分類分級與鑑別機制參考手冊。
116 行政院國家資通安全會報技術服務中心網站,
https://www.nccst.nat.gov.tw/CommonSpecification?lang=zh (最後瀏覽日:2017 年 10 月 22 日。
117 行政院國家資通安全會報技術服務中心網站,
https://www.nccst.nat.gov.tw/HandoutDetail?lang=zh&seq=1253
118 相關資訊安全標準自經濟部標準檢驗局國家標準(CNS)網路服務系統查詢,網址:
http://www.cnsonline.com.tw/ (最後瀏覽日:2017 年 1 月 11 日)
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
37
動應用 App 基本資安檢測基準」、「行動應用 App 基本資安自主檢 測推動制度」及「行動應用App 安全開發指引」,以輔導自主管理取 代立法強制規範精神,引導行動應用 App 開發商從事產品研發導入 資安概念119。另為有效協助業管產業之發展,因應法務部於 2012 年 9 月 26 日公告個人資料保護法施行細則,已明定適當安全措施所應 包含的項目,委託資策會編印「個人資料法規遵循參考指引暨宣導手 冊_資服業個資教戰手冊」,協助資訊服務產業了解個資法,並予以 遵循120。
保險業以中華民國人壽保險商業同業公會為代表,於 2013 年 12 月完成「壽險業辦理資訊安全防護自律規範」,並經金融監督管理委 員會(下稱金管會)保險局同意備查121。金融機構在提供金融服務的同 時,保管了重要的客戶資料,因而往往成為駭客攻擊的首要目標。基 此,中華民國銀行商業同業公會全國聯合會研擬「金融機構辦理電腦 系統資訊安全評估辦法」,據以實施及強化技術面與管理面之相關控 管措施,改善並提升網路與資訊系統之安全防護能力122。
2015 年 4 月,金管會為明確規範電子支付機構之資訊系統標準,
依「電子支付機構管理條例」第 29 條第 2 項、第 39 條及第 40 條準 用第 29 條第 2 項授權,並參酌 CNS 27001「資訊技術–資訊安全技 術–資訊安全管理系統–要求事項」國家標準、金融監督管理委員會
119 行動應用資安聯盟網站,https://www.mas.org.tw/web_doc.php?cid=about-1 (最後瀏覽日:2016 年6 月 21 日)
120 經濟部工業局首頁>個資保護專區>下載專區,
https://www.moeaidb.gov.tw/external/ctlr?PRO=information.rwdInformationNewsView&id=13286 (最 後瀏覽日:2017 年 6 月 21 日)
121 金管會(102)年金管保綜字第 10200145480 號函准備查訂定、金管會(104)年金管保综字第 10402562872
號函准備查修正。參見中華民國人壽保險商業同業公會,http://www.lia-roc.org.tw/index06/law/%E5%A3%BD%E9%9A%AA%E6%A5%AD%E8%BE%A6%E7%90%86%E 8%B3%87%E8%A8%8A%E5%AE%89%E5%85%A8%E9%98%B2%E8%AD%B7%E8%87%AA%
E5%BE%8B%E8%A6%8F%E7%AF%84.htm (最後瀏覽日:2017 年 6 月 25 日)
122 林承忠, BANK 3.0–綜觀金融機構電腦系統資訊安全評估,財金資訊季刊,84 期,頁 48,2015 年 10 月。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
38
(簡稱金管會)指定非公務機關個人資料檔案安全維護辦法及中華民國 銀行商業同業公會全國聯合會「金融機構資訊安全基準」、「金融機 構辦理電子銀行業務安全控管作業基準」等規範,發布「電子支付機 構資訊系統標準及安全控管作業基準」,以確保電子支付機構之交易 安全及業務健全運作123。
2016 年 7 月,我國發生第一銀行 ATM 盜領案件,檢警在 2 個月 破案並追回93%贓款124,促使金管會對於資訊安全措施更加重視,遂 邀集全體本國銀行總經理召開「研商本國銀行設置資訊安全專責單位 及主管暨相關資訊安全事宜」會議,達成二項共識,其第二項共識即 為因應金融科技之發展,請銀行公會持續配合資安現況適時修正相關 資安自律規範,以供金融機構遵循125。
2017 年 4 月,行政院院會通過「資通安全管理法」草案送請立法 院審議中,近期可望成為我國第一個資通安全專法126。草案第1 條立 法目的:「為積極推動國家資通安全政策,加速建構國家資通安全環 境,帶動資通安全產業發展,以保障國家安全,維護社會公共利益,
特制定本法。」第5 條條文明定:「行政院得委任或委託其他公務機 關、法人或團體,辦理資通安全整體防護、國際交流合作及其他資通 安全相關事務。」,並敘明「為利實務運作,爰為本條規範,委外事 務倘不涉及公權力之移轉,則仍依政府採購法等規定辦理。」
123 參見電子支付機構資訊系統標準及安全控管作業基準辦法總說明,2014 年 4 月 27 日。
http://law.fsc.gov.tw/law/LawContent.aspx?id=GL001541 (最後瀏覽日:2017 年 6 月 25 日)
124 參見一銀盜領案破案國際矚目檢座受邀報告,載於中央社網站,資料日期:2017 年 3 月 30 日,http://www.chinatimes.com/realtimenews/20170330003726-260402
125 金管會邀請本國銀行討論設置資安專責單位新聞稿,資料日期:2017 年 2 月 24 日,載於 金管會網站,
http://www.fsc.gov.tw/ch/home.jsp?id=2&parentpath=0&mcustomize=news_view.jsp&dataserno=2017 02240002&aplistdn=ou=news,ou=multisite,ou=chinese,ou=ap_root,o=fsc,c=tw&dtable=News
126 2017 年 4 月 27 日行政院會通過「資通安全管理法」草案,載於行政院網站,
http://www.ey.gov.tw/Video_Content.aspx?n=75BB09111F4251A5&sms=026E415A2ADE9393&s=D 6A55217308ED505。(最後瀏覽日:2017 年 6 月 21 日)
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
39