小魚

去年在TAICS（台灣資通產業標準協會，台克斯）召開「無人機群協作與應用服務系統標準」會議時，有幸遇到Aon怡安的吳明璋Bright，後經由他的引薦，加入了他組織的線上線下社群，並定期召開分享會與見面會。

當時只能說是誠惶誠恐，想說我到TAICS開會其實是挾著公司威名才能來(過往也是因為是TTC)，並非是自己在業界多有影響力，而能加入到社群，甚至是資安社群，也是我多年後，尤其是婚後十年的第一次（加入）。加入社群的義務，就是要不定期進行分享，Bright由於是召集人，所以他每次都有主題可以分享，而我加入其實也沒啥目的，且知道要做分享時，其實自然有點退卻，畢竟公司內體系能分享者，由於有機密性質，要打碼之後公開其實也都有風險，所以我能分享的，大概就是當初在TTC的半官方身分到目前能跟政府單位打交道的部分做主題了。

2025/3/11中午分享的主題圍繞在我前一篇文〈到底5G專網的資安有沒有降低規範？〉而來，而這個《台灣5G專網資安政策與資安防護》簡報自然更為清楚，從台灣5G政策的源流－2018年科會辦召開的「5G應用與產業創新策略會議」（5G SRB會議）說起，舉凡《電信管理法》制訂、《台灣5G行動計畫》、行政院3679次會議、5G釋照，一直到2023年的數位部版《行動寬頻專用電信設置使用管理辦法》制定上路的步步艱辛（驚心）。

有了大致的政策輪廓後，就進入到5G在數位部成立後，規管的項目為何，以及很重要的究竟是怎麼審查的。當中也提到NCC與數位部在5G射頻器材上的管束究責問題，在5G擴散案時曾出現讓進出口業者出現疑難的狀況。

了解這些基礎的概念後，就進入正題-5G公網與5G專網在資安上的規管差異，以及與國際上的比較（我特別從日本與台灣來做整理），接著來看5G資安基本上是從各個政府補助案裡面去詳盡要求，一般來說是並沒有要求那麼多。但又為了感覺起來有要求，而在「5G擴散補助案」中列出諸多規範，又再度簡化了5G專網辦法中的資安要求。

然而其中關於多雲架構的管制與防護部分，在5G擴散案中當時並未思考清楚，因為這一項目對於大部分業者而言是行不通的，主要是台灣的5G專網為了要避免「雲端服務」的應用，牽涉到連接公網，因此根本不會有這一項目的資安需求與作為，5G擴散計畫強加此一項目就是會讓人從不用資通安全維護計畫上綱到需要資通安全維護計畫，此狀況何等嚴重。

最後我反應出至2024年底，共有121件5G專網設置計畫通過，有雲端服務者大多為電信業者，其他均為落地型不連外網，服務單純。實際上能用雲端服務者一定得跟電信業者合作，因為電信業者才有辦法去撰寫「資通安全維護計畫」，這也就是他們電信業者的強項。然而其他SI業者若要使用雲端服務，逼得只能與電信業者合作，才有機會可以化解這個問題，但這就與原先SI業的想法有違。

我認為政府端在審查機制的部分應該需要持續與民間業者溝通，像是資安與如何審查通過的部分一直沒有化解；再來就是目前各家仍活存的5G SI業者都相當辛苦，沒有政府的補助案，要持續推動這個事業，恐怕仍是像錢直接灑在大海一樣，找也找不到痕跡。