• 現正放映
20171031-SMG0035-快訊小紅條兒

荒謬資安管理法》政府人力不足只能外包 資安認證恐圖利廠商

以現階段資策會技服中心資安能力有限情況下,《資通安全管理法》通過後,未來政府在公務機關與非公務機關的資安稽核上,勢必得外包給民間機構負責。(取自1u88jj3r4db2x4txp44yqfj1.wpengine.netdna-cdn.com)

以現階段資策會技服中心資安能力有限情況下,《資通安全管理法》通過後,未來政府在公務機關與非公務機關的資安稽核上,勢必得外包給民間機構負責。(取自1u88jj3r4db2x4txp44yqfj1.wpengine.netdna-cdn.com)

政府長年以來,在資訊安全領域疏於投資,公務機關的資安稽核,過去委託資策會技術服務中心負責,然而,資策會技服中心100多名員工,每年竟然只能稽核50個機構資安業務,財團法人國家資訊基本建設產業發展協會(NII)前執行長吳國維表示,以現階段資策會技服中心資安能力有限情況下,《資通安全管理法》通過後,未來政府在公務機關與非公務機關的資安稽核上,勢必得外包給民間機構負責,《資安法》強制民間企業進行資安認證的規定,根本在圖利資訊外包廠商。

張善政曾訂定《資安科技中心設置條例》 被時代力量擋下

吳國維表示,馬政府時代前行政院長張善政,為了推動資通安全立法,當時訂定《資安科技中心設置條例》,準備將資策會技服中心,納編為政府部門正式組織,但業界都知道,成立十多年、員額100多人的技服中心能力不佳,過去研考會每年編預算養這個單位已經夠沈重,《資安科技中心設置條例》竟然準備將它擴編到200多人,所幸法案被時代力量給擋下。

20161004-前行政院長、台灣大哥大基金會董事長.東吳大學巨量資料管理學院榮譽院長.張善政.(陳明仁攝)
前行政院長張善政,為了推動資通安全立法,當時訂定《資安科技中心設置條例》,準備將資策會技服中心,納編為政府部門正式組織,但被擋下來。(資料照,陳明仁攝)

非公務機關130萬家 每年稽核不到50家

吳國維說,公務機關全台3000多個,非公務機關全台有130萬家,技服中心過去10年,每年只能稽核不到50家,未來資安法通過,如果要對全台公民機構進行資安稽核,勢必得委託外包廠商,資安法法案本身,等於埋下圖利廠商的因子,事實上,《資安法》立法過程,一直可以看到資訊業組成聯盟在遊說。

吳國維表示,全台具備資安認證機構,一年稽核的能量不過3、400家,《資安法》若強制全國130萬家企業,無論規模大小,都要擬定資安演練機制等,未來政府委外稽核廠商,可能會向民間業者「兜售」資安系統,甚至以恐嚇方式,強調未來如果資安稽核沒過,恐面臨處罰,「如果只是追求型式認證,台灣資安會因為資安法而進步嗎?我很懷疑。」

財團法人國家資訊基本建設產業發展協會(NII)前執行長吳國維(取自NII財團法人中華民國國家資訊基本建設產業發展協進會網站)
財團法人國家資訊基本建設產業發展協會(NII)前執行長吳國維(左)表示,未來政府委外稽核廠商,可能會向民間業者「兜售」資安系統,甚至以恐嚇方式,強調未來如果資安稽核沒過,恐面臨處罰。(取自NII財團法人中華民國國家資訊基本建設產業發展協進會網站)

吳國維說,《資安法》所規範資通安全要求,必須要非常清楚,任何人都能判斷,對於一定規模以下非政府機構,若強加資安規範,只會讓企業更難生存,「日本個資法,只要客戶資料五千筆以下都不稽查,台灣官員有個缺點,法案訂定沒有從人民角度設想問題,只想要擴大行政權限,出事了,推給目的事業主管機關去扛。」

資安處希望創造軟體業就業 吳國維:又不是經濟部

吳國維表示,行政院資通安全處在訂定《資安法》時,講了一個很冠勉堂皇理由,希望透過非政府機關強制資安認證,創造資訊軟體業就業,但他先前很不客氣地詢問資通安全處長簡宏偉,「資安法目的是加強資通安全,還是創造就業?他說二個都要,我告訴他,『你又不是經濟部,你是資通安全辦公室,請把資安管好就好』」,以目前政府執行能力有限情況下,資安稽核丟了一堆外包公司執行,外包公司一旦出事,責任由誰扛?

吳國維表示,行政院如果要提升資水電、能源等關鍵設施的資安防護,凡是涉及國家安全,可以透過《國家安全法》規範,不需要再搞一個《資安法》。

喜歡這篇文章嗎?

林上祚喝杯咖啡,

告訴他這篇文章寫得真棒!

關鍵字:

我要發風

風傳媒歡迎各界分享發聲,來稿請寄至 opinion@storm.mg

並請附上姓名、聯絡方式、自我簡介,謝謝!

本週最多人贊助文章