資安政策與法規
行政院國家資通安全會報(以下簡稱資安會報)自90年迄今,陸續推動6個階段、各為期4年之重大資通安全計畫或方案,已有效提升我國資安完備度,各期計畫或方案重點說明如下。
- 一、第一期機制計畫(90-93年)
建構資安防護體系,完成政府機關分級機制
90年1月17日行政院頒布「建立我國通資訊基礎建設安全機制計畫」(第一期機制計畫),以「確保我國擁有安全、可信賴的資訊通訊環境」為願景。本期主要成果為建構資安防護體系,主要成果如下:
- (一)成立資安會報,同時成立技術幕僚單位資安會報技術服務中心,作為我國負責資通安全建設與政策的主責單位。
- (二)針對涉及國家民生的重要政府機關推動資通安全管理制度,透過建立機關資通安全危機事件通報及預警機制、責任等級分類標準,對於不同責任等級的機關提供對應的資安支援與工作要求,並針對受指定機關進行資安外稽。
- (三)針對資訊人員推廣資安教育訓練、加強通資訊安全人力培訓及觀念宣導、提升大眾資安認知等。
- (四)檢討及增修訂通資訊安全相關法令、訂定通資訊安全技術標準及規範,建立產品檢驗及保證機制。
- (五)針對關鍵基礎設施的重要作業系統,規劃推動建置資訊安全管理制度(Information Security Management System, ISMS),以及資安監控中心預警及通告機制與人員訓練等資安管制方案。
- 二、第二期機制計畫(94-97年)
健全資安防護能力,成立國家資安監控中心
延續第一期機制計畫,行政院於93年核定「建立我國通資訊基礎建設安全機制計畫(94年至97年)」(第二期機制計畫),持續強化我國整體資安防護基礎,主要成果如下:
- (一)建置國家資通安全防護管理平台(National Security Operation Center, N-SOC),針對重要核心政府機關提供監測、預警服務,進行24小時防護。
- (二)建立政府機關資訊安全長(Chief Information Security Officer, CISO)機制,指定部會業管資通安全業務之副首長兼任資訊安全長,推動執行單位內資通安全相關計畫。
- (三)擴大政府機關資安責任等級分級作業實施範圍,大幅增加重要政府機關納入資安防護體系的數量,並將實施範圍擴及教育體系。
- (四)推動教育體系導入ISMS,以及輔導縣(市)教育網路中心建置ISMS。
- (五)透過稽核提升作業成效,各機關導入內部稽核制度,落實資安相關推動工作,並持續針對公民營單位進行資安外稽,提供稽核建議。
- (六)延伸資通安全計畫防護領域,加強訂定促進線上交易安全與保障民眾個人資料的資通安全計畫。
- 三、第三期發展方案(98-101年)
強化資安整體應變能力,精進通報應變機制
行政院於98年1月訂頒「國家資通訊安全發展方案(98年至101年)」(第三期發展方案),以「安全信賴的智慧臺灣,安心優質的數位生活」為願景,將政府推動資安經驗擴散至民間,逐步強化民間的資安防禦機制。主要成果如下:
- (一)建立資安事件偵測、識別及分析回應等應變程序,提升通報時效,持續強緊急通報、應變及復原等能力。
- (二)推動政府A、B級機關導入資安治理及績效評估,要求機關依需求配置資安專責及兼辦人力,建立資訊系統分類分級及對應的基本資安防護需求
- (三)採用「規劃-執行-檢查-行動」(Plan-Do-Check-Act, PDCA)過程模型,藉以提升政府機關資訊安全管理水準,降低相關作業風險,並推動國內政府機關與民間企業通過國際資安標準驗證(如ISO 27001)。
- (四)強化電子商務信賴安全,加強線上交易安全身分認證機制,推動運用公開金鑰基礎設施(Public Key Infrastructure, PKI)憑證服務。
- (五)促進事業機構運用第三方評鑑,依法規授權加強對各目的事業資安查核,促使業者強化個資保護、建立資安管理制度、辦理內稽及委託第三方進行資安外稽。
- (六)強化資安研究能量,鼓勵高教體系開設資安課程,培育資安專業研究人才,研發關鍵資安技術,移轉提供產業加值應用。
- (七)宣導強化資安概念,推動各級學校資安認知活動、針對企業宣導檢視自身資訊資產安全、辦理全民資安健檢及競賽等活動,提升全民資安認知程度。
- 四、第四期發展方案(102-105年)
加強資安防護管理聯防監控機制與資安情報分享
行政院於102年核定「國家資通訊安全發展方案(102年至105年)」(第四期發展方案),以「建構安全資安環境,邁向優質網路社會」為願景,強化中央政府因應資安攻擊的對抗能力為重心,主要成果如下:
- (一)國家政策與環境建構:持續增修資安政策、規範、指引、標準及手冊,盤點我國資安相關法規,研議制定資安專法;推動各政府機關資安合理人力及預算機制,每年辦理資安服務廠商評鑑;辦理「國家資通安全科技中心」籌設及運作事宜,推動行政法人化;推動資通設備安全驗證作業,積極與國際認驗證組織交流,並定期檢討檢設項目
- (二)資安防護與情資分享:推動建立政府資安治理架構,評估A、B、C級政府機關資安治理成熟度;成立iWIN網路內容防護機構,以強化網路內容安全管理機制;落實資安攻防演練,規劃資安情境演練與實兵演練;推動政府資安管理制度,提升政府機關資通安全管理作業;推展資安基礎環境安全設定,持續規劃不同系統政府組態基準(Government Configuration Baseline, GCB)設定;增進資安威脅情報蒐集能量,強化資訊分析與分享機制。
- (三)產業發展與技術升級:建構資安防護技術研究能量,強化新興資安自主技術競爭力;加強與企業及學研機構的資安技術研發合作,進行新興資安技術實務的應用;強化犯罪偵查應用、完善數位證據保全、推動數位鑑識實驗室,即時掌握資安犯罪動向;針對當期重點技術,如行動裝置、行動應用程式、無線網路、安全軟體發展生命週期(Secure Software Development Lifecycle, SSDLC)等,建置相應安全檢測機制。
- (四)人才培育與國際交流:推動資安專業訓練認證機制,規劃建立資安專業人員登錄與認證機制;建立資安職能評量制度,規範各職類人員定期完成資安職能課程訓練並通過課程評量。
- 五、第五期發展方案(106-109年)
第五期以「打造安全可信賴的數位國家」為願景,搭配「建構國家資安聯防體系」、「提升整體資安防護機制」、「強化資安自主產業發展」3大政策目標,並從「完備資安基礎環境」、「建構國家資安聯防體系」、「推升資安產業自主能量」及「孕育優質資安菁英人才」等4大推動策略著手,訂定11項具體措施,逐步推動我國資安縱深防禦及聯防體系,以穩固我國數位國土的資安防線, 主要成果如下:
- (一)完備資安基礎環境:107年5月11日經立法院三讀通過資通安全管理法,6月6日總統令公布,12月5日函頒施行令,建立我國資安法制化之基礎,於108年1月1日正式施行,資通安全管理法制定之六項子法亦同步施行,明定落實各項資安作業。 為建構我國資通訊產品資安防護標準,經濟部及國家通訊傳播委員會共同推動資通訊產品資安檢測暨認驗證制度,包括產品資安檢測基準制定、測試實驗室認證、資安檢測服務提供、產品資安驗證及合格標章核發及公告等,並以具市場規模及影響民生較大之產品為優先推動標的,目前已制定影像監控(IP CAM、NVR、DVR)、智慧巴士(車載機與智慧站牌)及智慧路燈(燈控器與照明閘道器)等IoT資安標準,其中IP CAM 資安產業標準現已成為國家標準(CNS 16120)。
- (二)我國資安聯防體系以八大CI領域為核心:由行政院統籌,結合中央目的事業主管機關串連CI提供者進行領域資安防護,並銜接國家層級進行橫向跨域聯防,形成「三層式資安聯防架構」,以減緩CI受資安攻擊致營運中斷的影響,進而強化整體國家安全,目前已推動建置國內層級及各CI領域層級之資訊安全監控中心(Security Operations Center, SOC)、電腦緊急應變小組(Computer Emergency Response Team, CERT)及資訊分享與分析中心(Information Sharing and Analysis Center, ISAC)等聯合防護機制,以系統化及制度化方式,進行資安情資掌握及傳遞、事件通報及應處、情資整合分享與應用等,建構完整的防禦陣線。 有關地方政府部分,藉由強化地方政府及所屬基層公所之資安防護,協助其建構安全資通作業環境,建立可信賴的資通安全環境,且以六都為核心,結合鄰近縣市推動資安區域聯防,建立地方聯合資訊安全防護網,並帶動地方政府與臨近學研機構合作,共同培育政府與學界之資安人才。目前已建置6個區域ISAC且成為「國家資安資訊分享與分析中心」(National Information Sharing and Analysis Center, N-ISAC)會員,使情資可迅速地分享予地方政府,亦完成6個區域SOC,彙整所屬鄰近縣市之資安情資,進行綜合分析以掌握可疑惡意行為。
- (三)推升資安產業自主能量:為推動我國資安產業之自主發展,提高國內自主率等事宜,行政院於108年11月28日公布「資通安全自主產品採購原則」,鼓勵中央與地方機關(構)、公立學校、公營事業及行政法人依政府採購法採用資通安全自主產品,進而帶動資通安全產業發展及強化國家資通安全防護能量。另,經濟部為協助我國資安業者提升中長期競爭力,建置資安整合服務平台(SecPaaS),推動國產資安產品與服務媒合服務,供給方為可提供資安服務的廠商,如安全軟體開發工具商、滲透測試服務供應商、新興資安產品供應商,其產品與服務經審核通過後即可上架。需求方為場域代表或產品整合商,如系統整合服務商、解決方案提供商。透過平台協助媒合需求方場域導入資安產品試煉與實證,以期建推動垂直整合領域資安解決方案。 為加速我國資安產業發展,政府投入資源為我國資安業者創造有利條件及發展環境,使業者於發展初期快速蓄積多方面能量並獲得成長空間。並結合資安新創社群,辦理技術聚會、工作坊,建立產學研界資安趨勢與技術交流環境,串接國內資安研發能量,讓資安技術向下紮根,同時扶植新創公司累計達25家,如白帽駭客社群產業化或帶動大企業進行投資。
- (四)孕育優質資安人才:107年教育部於原有公費留學考試中增設電資學群,設立「資通安全學門」,提供錄取生出國研習,並推動4所大專院校自108年起成立5個資安碩士(學程)班,逐步建置系統性資安人才培育體系。另辦理多元實務培育模式,自105年推動「台灣好厲駭」培訓課程,以培育具資安技術實務能力的人才為目標,結合學界與業界教師,推動業師(Mentor)制度,以師徒制方式教授資安實務技術及資安競賽經驗,另針對資安技能表現優異的學生給予更專精深造的機會,於106年啟動新型態資安暑期課程(Advanced Information Security Summer School, AIS3),以培養高素質資安人才為目標,並舉辦Final CTF或資安實務應用專題競賽。透過多元實務培育模式,近年來我國資安學員出國參加全球駭客搶旗攻防大賽(DEF CON CTF)等國際資安競賽均名列前茅。 針對資安產業的人才培育,經濟部自106年起開辦資安產業人才養成班,補助每位學員400小時全職資安培訓,結訓後由培訓單位提供就業媒合服務;106年結訓後3個月內達100%媒合,107年亦達80%,且成功媒合中有20%直接投入資安產業。而產業資安人才的推展,採結合市面各資安培訓能量,針對不同產業領域開設資安在職班進行短期培訓,由企業選派學員後由工業局提供補助,即時強化產業內的資安能量。109年短期資安人才累計開訓11班220人次、CI資安人才累計開訓6班133人次、長期資安人才訓練課程累計開訓3班69人次。針對高階資安人才養成,TWISC中心聯盟向下成立7個TWISC資安特色中心,累計培育資安碩博士生792名,至109年第3季已發表289篇期刊及研討會論文,執行96件產學合作,並移轉15項資安技術。
-
六、第六期發展方案(110-113年)
- 建構主動防禦基礎網路,打造堅韌安全之智慧國家
- 鑒於資通訊服務應用廣泛,以及我國重大科技創新政策,對於國家安全,甚至是社會經濟活動各種應用層面,資通安全皆扮演關鍵角色,為能因應國際趨勢與新型態資安攻擊與威脅,在既有的防禦基礎及面向上延續我國的資安防護能量與優勢,除持續落實第五期國家資通安全發展方案(106年至109年),行政院國家資通安全會報為逐步提升我國資通安全防護能量,爰於110年2月23日提出「國家資通安全發展方案(110年至113年)」(第六期發展方案),作為我國推動資安防護策略與計畫之依循目標。
- 為培育我國卓越資安人才,精進關鍵基礎設施資安防護作為,利用前瞻科技主動防制威脅並溯源阻斷,透由公私協同合作將資安意識與量能普及於民間企業,並建構安全智慧聯網環境,第六期發展方案以「打造堅韌安全之智慧國家」為願景,搭配「成為亞太資安研訓樞紐」、「建構主動防禦基礎網路」、「公私協力共創網安環境」3大政策目標,並從「吸納全球高階人才、培植自主創研能量」、「推動公私協同治理、提升關鍵設施韌性」、「善用智慧前瞻科技、主動抵禦潛在威脅」及「建構安全智慧聯網、提升民間防護能量」等四個面向著手,搭配六大核心戰略產業之資安卓越產業發展方案規劃持續推動資安產業,期以打造安全堅韌之智慧國家。
相關檔案
相關法規
發布單位:綜合規劃組
建立日期:2022-08-27
更新日期:2024-07-26