【學界觀點】國家資安應由上而下推動且不可委外

william77

在行政院資安處提出的資安管理法草案版中，公務機關以及非公務機關都必須提出資通安全維護計畫，再由資安處審查。交大資工系教授林盈達認為，政院版是由下而上（Bottom-Up）作為，容易淪為各單位各行其政，甚至淪為花錢卻無成效的資安ISO化窘境。

除行政院資安處草擬的資安管理法外，時代力量黨團也推出時力版資通安全管理法草案，協助草擬與建議該版的交大資工系教授林盈達認為，時力版與政院版最大差異點在於：時力沒有外包的設計。
他表示，時力版明定行政院資安處是統一資安專責單位，包括所有資安政策制定、資安軟硬體測試審驗，定期或不定期的資安攻防演練，甚至資安人才培育等，全由資安處負責，不允許資安委外。
林盈達建議，目前行政院資安處還未成為獨立機關前，仍可資安委外，但必須制定落日條款，確保資安都是由資安處統理的業務。
資安處應由上而下，訂定資安維護計畫作為各單位參考
在行政院資安處提出的草案版中，包括公務機關以及非公務機關都必須依照各自的產業內容與資安現況，提出各自的資通安全維護計畫，再由資安處審查。但林盈達認為，政院版是由下而上（Bottom-Up）作為，容易淪為各單位各行其政，甚至淪為花錢卻無成效的資安ISO化窘境。
他說：「資安要能成功推動，必須是從上而下（Top-Down）推動資安才容易成功。」由資安處或是未來更高階的獨立資安專責單位，訂定資安維護計畫規範，並藉此稽核各個政府單位，政府各單位才能在同樣的資安標準下做事且有共識。
時代力量法案版納入通訊保障及監察法有關的網路與通訊定義，林盈達認為，為了解決過往沒有監聽單位政治監聽的陋習，明定資安處有權稽核軍警調等單位的監聽Log，希望可以達到陽光法案的效果。林盈達最後也建議，目前行政院成立資安處後，雖然統籌一切的資安日常維運，但是，在政策決策上，仍應採納其他包含中央部會在內資安長的觀點，建議未來可以將類似的資安長會議作為取代既有資安會報，作為資安決策的作法。

ssliuxu