資通安全管理法於107年6月6日制定公布,並自108年1月1日施行。依該法第3條第6款至第9款1規定,納管對象除公務機關,亦包括特定非公務機關,而後者含關鍵基礎設施提供者、公營事業及政府捐助之財團法人。按該法所稱政府捐助之財團法人係指其營運及資金運用計畫應依預算法第41條第3項規定送立法院,及其年度預算書應依同條第4項規定送立法院審議之財團法人。爰此,財團法人若符合前開政府捐助之財團法人(以下簡稱財團法人)定義或屬關鍵基礎設施提供者,應依資通安全管理法相關規範辦理資通安全事項。經查:
(一)資通安全管理法相關規範
財團法人應辦理之資通安全事件通報與改善,以及資通安全維護與受稽核規範概述如下:
1.資通安全事件通報及應變機制:依據資通安全管理法第18條2規定,財團法人應訂定資通安全事件通報及應變機制,並應向中央目的事業主管機關通報及提出資通安全事件調查、處理及改善報告。
2.符合資通安全責任等級要求及修訂與實施資通安全維護計畫:依資通安全管理法之子法—資通安全責任等級分級辦法第2條及第11條第1項3、資通安全管理法第16條第2項及第17條第1項4規定,財團法人資通安全責任等級,由高至低,分為A級、B級、C級、D級及E級,並應符合其所屬資通安全責任等級之要求,以及訂定修正與實施資通安全維護計畫。若為關鍵基礎設施提供者,應向中央目的事業主管機關提出維護計畫之實施情形。
3.改進受稽核事項缺失或待改善事項:
(1)依資通安全管理法第2條、第7條第2項及第3項5,行政院得稽核財團法人及關鍵基礎設施提供者之資通安全維護計畫實施情形,受稽核者應就缺失或待改善者,向行政院提出改善報告及送中央目的事業主管機關。
(2)依據資通安全管理法第16條第4項6及第17條第1項及第3項7規定,中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形,並得稽核所管財團法人資通安全維護計畫實施情形,受稽核者應就缺失或待改善者,向中央目的事業主管機關提出改善報告。
(二)部分財團法人因資安人力不足及預算經費待編列,而未能如期完成所屬資通安全責任等級應辦事項或改善資安稽核缺失
1.截至110年4月底止,部分財團法人預計或已無法於規定期限內完成所屬資通安全等級之應辦事項。例如,文化部主管中華民國電影事業發展基金會尚未依規定設置資通安全專責人員1人及完成相關專業訓練與持有專業證照;文化部主管中央通訊社、教育部主管高等教育國際合作基金會與社教文化基金會,以及經濟部主管石材暨資源產業研究發展中心、印刷創新科技研究發展中心、醫藥工業技術發展中心、台灣非破壞檢測協會及商業發展研究院等財團法人未能於規定期限內完成資訊安全管理系統之導入(詳表1)。
2.另截至110年4月底止,部分財團法人資通安全維護計畫實施情形經政府機關稽核之缺失事項,尚有已逾稽核機關規定期限而待改善者,例如,原民會主管之原住民族文化事業基金會、科技部主管之國家同步輻射中心、經濟部主管船舶暨海洋產業研究中心、商業發展研究院及台灣地理資訊中心等(詳表2)。詢據未如期改善原因包括資安人力不足、尚待編列預算辦理、資安人力招募不易加上短時間內陸續接受不同政府機關稽核而未及改善等。
(三)部分主管機關所轄財團法人資通安全維護計畫實施情形受稽核家數偏低,容宜衡酌資通安全風險研謀強化稽核
1.整體財團法人資通安全責任等級,以列為C級78家居最多,其次為D級47家,而A級及B級則分別為7家及6家(詳表3)。
2.詢據財團法人回覆截至110年4月底止資通安全維護計畫之實施受稽核情形資料顯示,多數主管機關對於資通安全責任等級列C級以上之財團法人已採行稽核措施,惟部分主管機關之稽核情形可考量強化。例如,交通部及法務部所轄財團法人分別為10家及3家,均未受資通安全維護計畫實施情形之稽核,其中列C級之財團法人家數分別為4家及2家;教育部所轄財團法人計11家,僅針對1家A級財團法人資通安全維護計畫實施情形進行稽核,尚未對列C級之財團法人進行稽核(詳表3)。另金管會主管保險事業發展中心業務涉及區域性或地區性民眾個人資料檔案之持有而列為B級,其資通安全維護計畫實施情形尚未受政府機關稽核。
3.依資通安全管理法相關規範,非關鍵基礎設施提供者之財團法人資通安全維護計畫實施情形屬中央目的事業主管機關「得」稽核事項。然資通安全責任等級之分級係依業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件所訂定,資通安全責任等級C級以上之財團法人資通安全風險較高,資通安全管理法令規範應辦事項顯然多於D級及E級,例如增加應辦理管理面之資通安全專責人員設置、內部稽核、資訊安全管理之導入;技術面之安全性檢測與資通安全健檢、認知訓練面之訓練時數較高及有效專業證照之持有等,而資通安全管理法施行迄今已逾2年,中央目的事業主管機關容宜斟酌資通安全風險,研謀強化對財團法人資通安全維護計畫實施情形之稽核,以促使財團法人確實妥適辦理資通安全維護事務。
(四)部分兼為關鍵基礎設施提供者之財團法人資通安全維護計畫實施情形,迄尚未受政府稽核
按關鍵基礎設施之功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,爰資通安全管理法對關鍵基礎設施提供者之規範強度高於非屬關鍵基礎設施提供者之財團法人。依資通安全管理法第16條第4項規定中央目的事業主管機關「應」稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。惟文化部主管之公共電視文化事業基金會與中央廣播電臺、客家委員會主管之客家公共傳播基金會等財團法人均為關鍵基礎設提供者,資通安全責任等級分列為A級、C級及C級,該等資通安全維護計畫之實施情形截至110年4月底止,均尚未受政府機關稽核。依各該部會回覆表示該等財團法人依資通安全管理法,其中央目的事業主管機關均為國家通訊傳播委員會。據國家通訊傳播委員會表示原規劃110年度就所管關鍵基礎設施提供者資通安全維護計畫之實施情形執行稽核,惟因適逢COVID-19疫情警戒,考量實地稽核動員人數眾多,爰順延至111年度辦理。
綜上,全球資安攻擊事件頻傳,我國已為駭客鎖定攻擊及竊取資料之資安威脅地區,資通訊安全係公私部門允應重視之課題。截至110年4月底止部分財團法人未於規定期限內完成所屬資通安全責任等級應辦事項或改善政府機關稽核之缺失,中央目的事業主管機關允宜督促儘速完成。另資通安全管理法施行迄今已逾2年,部分中央目的事業主管機關對所轄財團法人資通安全維護計畫實施情形之稽核家數偏低,其中不乏兼為關鍵基礎設施提供者之財團法人,以及資通安全責任等級列為A級、B級或C級之財團法人,容宜考量資通安全風險,研謀強化財團法人資通安全維護計畫實施情形之稽核,以及於安全前提下,積極執行實地稽核,以促使財團法人精進資安防護作為。
表1 預計或已未能如期完成資通安全責任等級應辦事項之財團法人彙總表
主管機關
財團法人名稱
資通安全責任等級核定年月
未如期完成之所屬資通安全責任等級應辦事項
文化部
中央通訊社
108/06
1.C級資通安全責任等級應辦事項規定,初次受核定或等級變更後2年內,全部核心資通系統導入CNS 27001或ISO27001等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準,或其他公務機關自行發展並經主管機關認可標準,並持續導入。
2.該財團法人預計110年下半年開標。
中華民國電影事業發展基金會
108/06
1.C級資通安全責任等級應辦事項規定,初次受核定或等級變更後1年內,配置1人,且資通安全專責人員總計應持有1張以上有效之資通安全專業證照,並每人每年接受12小時以上之資通安全專業課程訓練或資通安全職能訓練。
2.該基金會未設置資通專責人員及完成前開事項。
教育部
高等教育國際合作基金會
108/07
1.C級資通安全責任等級應辦事項規定,初次受核定或等級變更後2年內,全部核心資通系統導入CNS 27001或ISO27001等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準,或其他公務機關自行發展並經主管機關認可標準,並持續導入。
2.該財團法人預計110年9月底前導入。
社教文化基金會
108/07
1.C級資通安全責任等級應辦事項規定,初次受核定或等級變更後2年內,全部核心資通系統導入CNS 27001或ISO27001等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準,或其他公務機關自行發展並經主管機關認可標準,並持續導入。
2.該財團法人表示尚未完成。
僑委會
海外信用保證基金
108/06
1.C級資通安全責任等級應辦事項規定,初次受核定或等級變更後1年內,資通安全專責人員總計應持有1張以上資通安全專業證照,並持續維持證照之有效性。
2.該財團法人證照逾期,預計110年8月取得證照。
經濟部
石材暨資源產業研究發展中心
108/06
1.C級資通安全責任等級應辦事項規定,初次受核定或等級變更後2年內,全部核心資通系統導入CNS 27001或ISO27001等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準,或其他公務機關自行發展並經主管機關認可標準,並持續導入。
2.該財團法人預計110年8月31日導入。
印刷創新科技研究發展中心
108/06
1.C級資通安全責任等級應辦事項規定,初次受核定或等級變更後2年內,全部核心資通系統導入CNS 27001或ISO27001等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準,或其他公務機關自行發展並經主管機關認可標準,並持續導入。
2.該財團法人預計110年12月31日導入。
醫藥工業技術發展中心
108/06
1.C級資通安全責任等級應辦事項規定,初次受核定或等級變更後2年內,全部核心資通系統導入CNS 27001或ISO27001等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準,或其他公務機關自行發展並經主管機關認可標準,並持續導入。
2.該財團法人預計111年4月導入。
台灣非破壞檢測協會
108/06
1.C級資通安全責任等級應辦事項規定,初次受核定或等級變更後2年內,全部核心資通系統導入CNS 27001或ISO27001等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準,或其他公務機關自行發展並經主管機關認可標準,並持續導入。
2.該財團法人預計110年12月31日導入。
商業發展研究院
108/06
1.C級資通安全責任等級應辦事項規定,初次受核定或等級變更後2年內,全部核心資通系統導入CNS 27001或ISO27001等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準,或其他公務機關自行發展並經主管機關認可標準,並持續導入。
2.該財團法人預計111年6月導入。
說 明:上表統計時間為110年4月底。
資料來源:彙整自各部會110年6月3日至7月20日陸續提供資料。
表2 截至110年4月底財團法人經政府機關稽核缺失事項已(或預計)逾期而尚待改善彙總表
主管機關
財團法人名稱
稽核機關
資通缺失項數
未於稽核機關要求期限內而尚待改善項數
原民會
原住民族文化事業基金會
原民會
8
2
科技部
國家同步輻射研究中心
科技部
17
7
經濟部
船舶暨海洋產業研發中心
經濟部
22
2
行政院
21
2
商業發展研究院
經濟部
14
6
台灣地理資訊中心
經濟部
11
1
資料來源:彙整自各部會110年6月3日至7月20日陸續提供資料。
表3 財團法人資通安全責任等級及政府稽核情形彙總表
主管
機關
所轄家數
資通安全責任等級家數
財團法人主管機關稽核家數
其他機關稽核家數
A
B
C
D
E
無
行政院
1
0
0
0
0
1
0
0家
0家
內政部
8
0
0
4
1
1
2
C級3家,共3家
0家
國防部
1
0
0
0
1
0
0
D級1家,共1家
0家
文化部
13
1
0
5
4
3
0
C級1家,共1家
0家
外交部
4
0
0
3
1
0
0
C級1家,共1家
0家
交通部
10
0
0
4
0
3
3
0家
0家
法務部
3
0
0
2
0
1
0
0家
0家
金管會
9
1
1
6
0
0
1
A級1家,C級5家,共6家
0家
原能會
3
0
0
0
3
0
0
0家
0家
退輔會
1
0
0
0
1
0
0
D級1家,共1家
0家
科技部
3
1
0
2
0
0
0
A級1家,C級2家,共3家
0家
教育部
11
1
0
6
2
1
1
A級1家,共1家
0家
陸委會
2
1
0
0
0
1
0
A級1家,共1家
0家
通傳會
2
2
0
0
0
0
0
A級2家,共2家
0家
經濟部
39
0
3
31
5
0
0
B級3家,C級13家,D級3家,共19家
2家
農委會
28
0
0
6
21
0
1
C級3家,D級15家,共18家
0家
僑委會
2
0
0
1
1
0
0
C級1家,D級1家,共2家
0家
衛福部
16
0
1
5
4
6
0
B級1家,C級2家,共3家
2家
環保署
4
0
0
1
2
0
1
C級1家,共1家
1家
原民會
2
0
0
1
0
0
1
C級1家,共1家
0家
司法院
1
0
1
0
0
0
0
B級1家,共1家
0家
客委會
1
0
0
1
0
0
0
0家
0家
合計
164
7
6
78
47
16
10
說 明:1.上表所列主管機關所轄財團法人家數,係統計行政院主計總處所提供110年度預算書、營運及資金運用計畫送立法院之財團法人家數,並扣除改隸至金門縣政府主管之金門酒廠胡璉文化藝術基金會。
2.上表所列資通安全責任等級為「無」者包含資通安全責任等級尚未獲核定及財團法人回覆無資通安全責任等級者。
資料來源:彙整自各部會110年6月3日至7月20日陸續提供資料。
(分機:8653 江穗美)