中華郵政也要設立
首先,金融機構之獨立資安人員要求,係比照行政院在2015年所頒布之《行政院在政府機關(構)資通安全責任等級分級作業規定》,所規定之A級資安單位,包括(1)台電、台水、中油、港務公司、證交所等涉及能源、水資源、通訊傳播、交通、金融等關鍵資訊基礎設施機構,(2)已BOT之基礎設施,例如遠通電收、台灣高鐵、高雄捷運;(3)醫學中心,以及保有全國性個人資料檔案之機構,如中華郵政等。
在上述A級資安單位,包括政府部門在內,目前仍有多個單位尚未設置獨立之資安部門,以證券周邊事業為例,周惠美表示,目前證期局下轄單位,除了集保公司有設立獨立資安部門外,其餘單位包括證交所在內,都尚未設置獨立資安部門,不過證期局已在1月發函相關業者,要求在3個月內設置。
其次,政府部門目前的資安人力,仍嚴重缺乏,為避免遭外界批評「寬與律己,嚴以待人」,相關部會對於下轄監理事業,並沒有嚴格要求資安部門必須從資訊部門中獨立。
公務員考試僅有資訊職系 無資安體系
據了解,由於目前公務人員考試,僅有資訊職系,尚無設置資安職系,目前政府資安人力明顯不足,各部會的資安人力,都還隸屬於資訊處室,行政院方面都坦言,現階段要各部會資安人員,自資訊部門獨立,現階段並不可能。行政院到美國考察資安業務,也發現每一個企業的資安防護作為並不相同,有些企業在資訊長之外,有獨立的資安長,但是也有資安長隸屬於資訊長之下,因此,在獨立資安單位的建置上,並沒有強制要求。
以通傳會下轄的電信事業為例,通傳會針對一類電信與二類電信業者,包括固網與行動通信業者,所訂定的資安通報管理規則,係要求業者必須通過國際機構之ISO27001與ISO27011之認證,另外,在資安事件發生後,也有訂定《資通訊環境安全應變作業要點》,通傳會官員表示,通傳會目前並沒有要求電信業獨立設置資安部門,「交由國際單位資安認證,會比土法煉鋼要好很多。」
不過,金管會似乎習慣於「一條鞭」式監理,認為資本額與總資產一定規模以上,必須要「帶頭示範」,甚至強調資安業務是「新興制度」,現在先訂相關辦法,待日後實驗結果,再決定是否改弦易轍。
王立群表示,金融機構法遵人員,之所以不能兼法務,主要係考量法務人員長期以來配合銀行業務部門拓展,「久居其中」能否跳脫業務掛帥思維,以公正客觀執行法律遵循。「法務人員,要在金融法規範圍尚未明確前,找尋變通解釋,但法遵人員對於法律遵守,不該有這樣的疑問」,大型金融機構法遵與法務主管可能是同一個,這對機構的法律遵守會產生疑慮。
「資訊與資安的關係,某種程度也與法律與法遵類似,資訊人員對於業務系統設備已經有既有認知,但對於新的資安要求,能否達到同等關照,則不無疑義」,王立群表示。
不過,金融機構對於金管會準備一紙命令,強制要求設置獨立資安部門,則有不同的看法,不少業者在公聽會上,都建議應該與國外接軌,以通過ISO國際認證為依歸,不應該關起門來,要求金融機構必須獨立設置資安部門。
