晴時多雲

自由共和國》林宗男/監察院於資安治理應扮演的角色

監察委員職司風憲,特別是對於行政機關具有「外律監督」的功能,因而有一定程度的主動性,具有準行政機關與準司法機關的特色。(資料照)

林宗男/台大電機系教授

政府的資訊安全治理架構,應該以縱深防禦的思維設計三層不同的防禦框架;也就是「技術、資安管理及稽核」。第一線的防護以「技術」方面為主,包含建置專業的資安技術團隊、日常機關的資訊安全設備的運作:如防火牆、端點資安防護設備(EDR)與異常網路行為偵測(NIDS)等設備。第二層的防禦主要在於「制度面」的資安管理。領導者以全面性治理的角度管控組織的營運,制定資安管理制度,並提出改善方法,以建立資訊安全的文化,如人員密碼管理的政策、組織人員資安教育訓練的要求等。

第三層防禦:則是由獨立的稽核單位,來檢視組織在資訊安全的方法與表現是否完善,關鍵的問題包含:誰可能攻擊?攻擊的目的為何?會製造哪些風險?攻擊的手段為何?資安稽核包含以下三個階段:

一.威脅稽核:主要針對網路攻擊的稽核,用以確保系統與資料的安全性,並同時搜集相關證據。

二.評估稽核:用以評估資安控制的框架、常規需求與標準,或是針對特定的網路威脅。

三.驗證評估:以設計與紀錄特定的需求來驗證評估的有效性。

政府資安稽核

資安稽核又可以分成內部稽核與外部稽核。在「資安即國安」政策下,政府已將資通安全提升到國家安全層級,資安業務將由即將成立的數位發展部統籌。以即將成立的數位發展部負責資安業務的資通安全署(下稱資安署)組織法草案第二條第五款規定為例,該署執掌「資通安全相關演練與稽核之推動及執行」,此處「稽核」應該解釋為政府行政體系的內部稽核。至於外部稽核,則應該由監察院扮演重要的關鍵角色。

監察委員職司風憲,特別是對於行政機關具有「外律監督」的功能,因而有一定程度的主動性,具有準行政機關與準司法機關的特色。 而對於一般社會大眾來說,相較於外部監督,內部監督易有徇私、相互掩護等弊端。因此制憲者特別把監察院設定為國家一級機關,期待監察院更能發揮監督行政權的功能。因此,在行政權的自我監督(內部監督)外,在本國的憲政體制下,外部監督的權力由監察院行使,屬於監察院的職權核心。此外,憲法增修條文第七條第五項所規範的監察委員必須獨立行使職權,也保障這樣外部監督機關的公正性與獨立性。在目前憲政體制下,監察院職司外部監督;因此,除了其他各院的權力核心之外,政府機關資安外部稽核的權力應該交由監察院行使。

監察院執行此一功能需具有紮實資安技術能力,才有能力扮演第三方監督的角色,找出原有行政機關資安管理的盲點。例如法務部力推的「科技偵查法」,檢調機關是否能按照法案的規定辦理,需要有「check and balance」的憲政機關督促,而非單純只靠司法行政機關的自由心證。「通訊保障及監察法」的監聽,也應由監察院於資安稽核時一併辦理,以保障國人的數位人權。

資安的跨院分工與協調

在數位時代下,政府五院都逐漸有越來越多的數位治理的問題。因此,資安並非行政院或是監察院的院內議題,而是整體政府所要共同面對的問題;在這種情況下,院際衝突在所難免。資安署組織法草案第二條第二款︰「國家資通安全政策、法規、重大計畫與資源分配等相關事項之擬訂、指導及監督」,文義上也包含監察院監察政府落實資訊安全的情形的資源分配;但從相關大法官解釋可知,數位發展部資安署進行此項資源分配,仍然必須尊重監察院的需求。如果資安署負有資安稽核機關監察院的資安資源分配,此組織章程則有修訂的討論空間。另外資安治理的工作主要由行政院國家資通安全會報技術服務中心(下稱技服中心)負責,但是技服中心卻又不隸屬資安署。為避免組織疊床架屋與指揮權限不明,技服中心應該改隸數位發展部資通安全署以避免權責不符的狀況。

資安治理涉及資源分配。但由於預算案為行政院所提出,交由行政院協調院際衝突恐怕有球員兼裁判的嫌疑。而立法院職司預算審議,在把關預算的角度來看,立法院是個較為合適的協調角色。我們認為,應由立法院召開公聽會,釐清相關爭議。

不用抽 不用搶 現在用APP看新聞 保證天天中獎  點我下載APP  按我看活動辦法

《自由共和國》強力徵稿

《自由共和國》來稿請附:真實姓名、身分證字號、職業、通訊地址及戶籍地址(包括區里鄰)、夜間聯絡電話、銀行帳號(註明分行行名)及E-mail帳號。

刊出後次月,稿費將直接匯入作者銀行帳戶,並以E-mail通知。
文長1200字以內為宜,本報有刪改權,不願刪改者請註明;請自留底稿,不退稿;若不用,恕不另行通知;請勿一稿多投。

《自由共和國》所刊文章、漫畫,將於 「自由電子報」選用,不另外奉酬。
Email:republic@libertytimes.com.tw

已經加好友了,謝謝
歡迎加入【自由評論網】
按個讚 心情好
已經按讚了,謝謝。

編輯精選