金管會口中的「資安」是什麼?
金管會於2021年底預告修正「公開發行公司建立內部控制制度處理準則」,要求資本額100億元以上、市值前50大之上市公司(臺灣50指數成分公司),以及上市櫃之電商、電子平台業者,應於2022年底設置資安長及資安專責單位,而其餘近三年未有連續虧損之上市櫃公司應於2023年底設置完成。
金管會並未在處理準則中訂定具體實施的辦法或標準,而是採用行業自律規範的方式落實。受規範的企業大多都能先在公司內部組織中增設資安長及資安人員職務,並由資訊部門人員調任或兼任。
台泥、欣興電子都增設!資安長是什麼?跟資訊長不一樣在哪?|數位時代 BusinessNext
然而,多數企業對於資安的核心意義仍然不是很清楚,職能也侷限於技術方面,由資訊或IT部門人員擔任也就不令人意外。
但資安的真正含義到底為何?報章媒體談到資安,有時會提到個資問題,似乎又與技術無關。資安與個資的連結為何?
何謂資訊安全?
前面提到,金管會並沒有直接針對資安長與資安專責人員的資格或職能做出具體規範;縱使有行業自律規範,金管會要如何判斷該自律規範是否適當?或許可以參考國家資通安全研究院所提出的框架。(國家資通安全研究院是依「國家資通安全研究院設置條例」設立的行政法人,由數位發展部監督。)
國家資通安全研究院參考美國NICE框架及歐盟ECSF框架,於今年8月提出台灣的資安職能基準,定義出「12+7」種人才類別。
圖片來源:https://www.ithome.com.tw/news/158498
從上面的人才類別就可以看出,所謂資安,除了技術方面,還應該包含監管與治理方面的法令遵循和稽核。其中,資安法遵師的職能就包含「個資法」。
資安與個資的關聯性
根據教育部重編國語辭典修訂本的定義,「資訊」有兩種意義:
- 電腦上指對使用者有用之資料和訊息的總稱。如:「資訊業」、「電腦資訊」。
- 泛指一般資料和訊息。如:「生活資訊」、「唱片資訊」。
資安若是採第一種定義,則泛指各種跟電腦有關的資料的安全;若採第二種定義,則不限於與電腦有關,也就是說,涵蓋各種資料與訊息,無論線上或線下、電子或書面、個人或非個人。
金管會修正的公開發行公司建立內部控制制度處理準則第9條,條文提及「使用電腦化資訊系統」,顯見金管會的真意應該是指「第一種」定義下的資訊安全。
然而,再看看個資法。個資法第2條規定,所謂個人資料,指得以直接或間接方式識別該個人之資料,包含姓名、生日、身分證字號、指紋、婚姻、職業、病歷、前科、聯絡方式、財務情況等等。個資法並未限制必須是以電腦系統存儲或處理的資料,因此個資法的資料,應該是採用第二種定義。
綜合上述定義分析可以知道,兩部法規的「資訊」定義並不相同,基本上可以理解為下圖的結構,交集部分為電子形式的個人資料。
圖片來源:作者自繪
因此,參考國家資通安全研究院所提出的框架,金管會口中的資安,除了電腦或網路攻擊防禦的技術,也包含遵循個資法。
金管會應該著力於資安法遵與稽核
由上面的人才類別框架可以發現,除了電腦與網路技術方面的人才,完整的資安架構還必須包含資安法遵師和資安稽核師。我甚至認為,多數企業對於資安法遵與稽核的需求,高於資安技術。電腦與網路攻擊手法日新月異,企業要自行培養資安技術人才進行防禦,不僅成本高,也無法100%確保攻擊事件不發生。因此企業面對資安威脅,必須採取風險控管的角度,將實際的防禦技術工作外包給專門的資安公司進行,企業內部僅需評估與控制風險。而控制風險正是法遵的核心職能。
金管會長期作為金融監管機關,對於金融法令遵循、稽核、內部控制方面已有相當經驗。一旦應遵守的法令、檢查的標準明確,企業便有具體的目標,即使不能100%防範資安威脅,也能控制企業的風險、責任與損失。
目前並沒有個資法的相關證照或資格認證,未來金管會若要完善上市櫃公司的資安,個資法的相關認證制度必須建立。此外,參考行政院國家資通安全會報技術服務中心所編纂的「資通安全法規彙編」,除了個資法,相關的法規還包含資通安全管理法、通訊保障及監察法、電子簽章法、電子支付機構管理條例、金融科技發展與創新實驗條例、電信法、電信管理法、營業秘密法、刑法、公司法、證券交易法等。有跨國貿易之企業,對歐盟法令如GDPR、The EU Cybersecurity Act等,亦應有所了解。
完成資訊安全的拼圖
資安法遵應該是各企業未來不可或缺的一塊,期待法律與商管人才能一同為資安盡一份心力。
