各國家對資通安全立法與管理概述
科技產業資訊室 (iKnow) - May 發佈於 2021年10月15日
圖、各國家對資通安全立法與管理概述
隨著全球進入網路高度發達時代,世界各國對於資訊安全之防護與立法更是看中其重要性,尤其是各國家建立國家層級的資安管理法規,並設立專門部門或機關加以管理。
各國家對資通安全立法與管理機制,概述如下:
一、歐盟於2013年發布網路暨資訊安全戰略(Cyber security Strategy of the European Union),希望提供一個開放、安全與可靠之網路空間,以實現網路安全防護、減少網路犯罪、建立歐盟安 全之網路空間及促進歐盟之價值核心為主軸與訴求。再於 2016 年,歐盟發布一項新的指令,名稱為歐盟網路與資訊系統安全指令(Network and Information Security Directive, NIS Directive),以管制資通安全。NIS Directive包含三個部分:
- 國家能力:歐盟成員國必須具備個別歐盟國家的特定國家網路安全能力,例如必須擁有國家CSIRT、進行網路演習等。
- 跨境合作:歐盟國家之間的跨境合作,例如運營歐盟CSIRT網路、戰略NIS合作組等。
- 關鍵行業的國家監管:歐盟成員國必須對其本國關鍵市場運營商的網路安全進行監管:關鍵行業(能源、交通、水、衛生、數字基礎設施和金融行業)的事前監管,事後監管對關鍵數位服務提供商(線上市場、雲端和線上搜索引擎)的監管。
二、美國在2014年提出聯邦資訊安全現代化法(Federal Information Security Modernization Act of 2014, FISMA 2014),聯邦資訊安全現代化法(FISMA 2014)授權給美國國土安全部對於各公務機關進行監督與管理、管制重大資安事件之通報與受到侵害時之處置。另外,美國歐巴馬政府上台之後,於 2009 年 2 月,美國制定「國家網絡安全綜合倡議」(Comprehensive National Cybersecurity Initiative;CNCI),發布對美國目前網路安全狀況之重要評估報告及建議。
三、日本於2014年通過「網路資訊安全基本法」(サイバーセキ ュリティ基本法),針對於政府機構與民間單位之資訊安全,「網路資訊安全基本法」進行規範並設立網路安全戰略本部。
四、德國聯邦議會於2015年通過資訊科技安全法(IT-Sicherheitsgesetz)保障民眾與國家基礎設施之網路安全,讓德國成為全球網路科技系統之先驅及模範。
五、中國於2017年6月實施《中華人民共和國網絡安全法》共有7章79條,立法目的在於防制網路詐騙和網路攻擊、保護關鍵基礎設施、網路用戶實名制預防犯罪事件及具有爭議之第58條「因維護國家安全和社會公共秩序,處置重大突發社會安全事件之需要,經國務院決定或者批准,可以在特定區域對網路通信採取限制等臨時措施」來限制級保障國家安全。中國大陸政府之資通安全管理法制,最具爭議性的,係為「中華人民共和國國家情報法」,尤其是該法第14條規定:「國家情報工作機構依法開展情報工 作,可以要求有關機關、組織和公民提供必要之支持、協助和配合。」,因而備受全球各國政府之批評。
同時,該法也首次以法律形式明確網路實名制,規定網路運營者為使用者辦理網路接入、域名註冊服務,辦理固定電話、行動電話等入網手續,或者為使用者提供資訊發布、即時通訊等服務,應當要求使用者提供真實身分資訊。使用者不提供真實身分資訊的,網路運營者不得為其提供相關服務。同時也對關鍵資訊基礎設施的執行安全以及懲治攻擊破壞中國境內關鍵資訊基礎設施的境外組織和個人,進行明確規定。
六、英國於2018年,頒布電子通訊網路與資訊系統規則(The Network and Information Systems Regulations 2018),該規則,係英國因應歐盟2016年實施網路與資訊系統安全指令(NIS Directive)之相關要求。
七、南韓資訊安全署(Korea Internet & Security Agency)因應資訊安全帶來之威脅提出資訊與通訊基礎設施保護法(Laws on the Internet and Information Security of Korea),對於不同之網路犯罪訂出相關之法律規範,並於2016年成立共同進步網絡安全聯盟 (CAMP) 。
我國「資通安全管理法」
行政院於2018年6月6日公布「資通安全管理法」,規範公務機關及提供關鍵基礎設施之非公務機關,以風險管理為核心訂定相關之資通安全維護辦法及應變計畫,除資通安全管理法為我國資訊安全之母法外,另外,尚包括:刑法第36章(妨害電腦使用罪章)、電信法、電子簽章法、國家機密保護法、個人資料保護法、金融控股公司法、銀行法、醫療法及人體生物資料庫管理條例等相關子法。
結語
雖然,我國及美歐英德日韓等國,陸續自2013年起,針對網路安全法陸續提出立法。然而,隨著連結網路的新興產品不斷上市,迫使各國家主管機關對網路安全法及配套措施之關切,以因應產品符合資安保護與管理需要。但目前仍有舊瓶裝新酒的議題待解,例如:網路安全法及配套措施之定義及適用範圍不明,包含何謂「安全可信」或「安全可控」的網路產品和服務,以及「關鍵資訊基礎設施」定義不明;還有,無人駕駛車等大數據經濟時代,對於限制關鍵資訊基礎設施營運者移轉重要數據、或提供網路關鍵設備和網路安全專用產品進行資安檢查等,有些灰色地帶或關聯模糊不清之處仍須一一解釋釐清。(1405字;圖1)
參考資料:
歐盟網路與資訊系統安全指令 Network and Information Security Directive
美國聯邦資訊安全現代化法 Federal Information Security Modernization Act of 2014, FISMA 2014
日本「網路資訊安全基本法」サイバーセキ ュリティ基本法
德國資訊科技安全法 IT-Sicherheitsgesetz
中國「網路安全法」
南韓資訊與通訊基礎設施保護法 Laws on the Internet and Information Security of Korea
資通安全管理法簡介。行政院資通安全處,2018/6
試論我國公務機關資通安全管理機制的現況、困境與可行回應對策- --以中國大陸的華為案為核心。2019(第十七屆) 危機管理暨工業工程與安全管理研討會,2019/5/17。
中國大陸網路安全法之WTO適法性分析。 中華經濟研究院,2019/09/19。
相關文章:
1. 行政院2022年編列5164萬資安預算 成立兩大國家級資安實驗室
2. 白宮召開資安高峰會 各產業領袖承諾投入強化資安
3. Check Point:三重勒索、攻擊供應鏈及遠端網路攻擊持續增加
4. IDC:企業或組織44%會為勒索軟體支付贖金
5. 受到勒索軟體攻擊之企業復原成本約185萬美元
6. 洞察網路安全專利市場
--------------------------------------------------------------------------------------------------------------------------------------------