短期強化自主技術能力長期從立法與體制面著手

2016 / 12 / 28

編輯部

根據民國91年所制定的「行政院所屬各機關資訊業務委外服務作業參考原則」中明訂，政府資訊業務採取委外為原則，除非廠商無法提供或民間辦理無法提升效率，才由機關自行建置。委外一方面為了提升效率，加速電子化政府推動，另一方面則為扶植國內資通訊產業發展。此舉立意雖好但長期下來，卻造成政府單位內部資訊人員不熟悉技術內涵，無法掌握專案品質，導致驗收流於形式。

近年來連續幾起政府機關資訊系統重大問題事件，不僅造成民眾不便更影響政府形象，而仔細探究下來，除了內部自身問題外，外部委外業務也是脫離不了關係的原因之一。包括，民98年移民署大當機造成桃園機場出關民眾大排長龍，許多人仍印象深刻；民102年5月國家檔案管理局電子公文交換系統遭駭客入侵，駭客深入掌握電子公文系統架構並獲悉公文傳遞內容，全台逾萬機關受影響；民103年2月戶政役新系統上線大當機，不僅民怨沸騰，台北市更史無前例發臨時身分證應變。

降低資訊委外風險4策略
在法務部資訊處擔任資訊主管長達18年的陳泉錫今(2016)年再度回到老東家財政部財政資訊中心（原財稅資料中心），並接任中心主任。在法務部之前就在財稅資料中心歷任科長、組長等也是服務滿18年，懷抱著對老東家的感情因此在原訂退休之際，再度接受徵召回到財政資訊中心一展資訊管理長才。

從法務部到財政資訊中心，雖然都是資訊主管的角色，但最大差異是服務對象的不同。法務部的資訊系統主要提供對象是部內同仁使用，而財政資訊中心系統的服務對象則是一般大眾，因此系統的穩定度、安全性等更需要用高標準檢視。有感於中心大多數系統都採委外方式建置，相關系統建置資訊與細節都掌握在委外廠商手中，一旦廠商服務出現任何狀況，整體系統運作將處於高度風險中。因此，陳泉錫希望透過資訊人員自主技術的強化，以降低對委外廠商倚賴，藉此減少因資訊委外而造成的資安風險。具體措施包括以下4點：

1.獨立小系統自行開發，培養程式能力
新成立系統設計科與品質管制科。財政資訊中心每年預算中高達75%用於賦稅再造國稅平台系統的維護，剩下的經費則分配於地方稅平台、網路申報平台維護及其他專案，在預算逐年減少且對外尋求財源越來越困難下，陳泉錫決定將部分可獨立運作的小系統切割出來，例如負責統計分析的系統。畢竟核心系統牽涉系統服務水準權責問題，較難切割。因此，從小系統開始讓系統設計科自行負責開發維護，一方面降低經費不足之部分缺口，二方面藉此培養自主能力。有了技術自主性後，將來更有能力檢核廠商規劃的解決方案及交付程式之品質，並管理風險。

2. 從新進人員開始，先到系統設計科培訓6個月
系統設計科不只是負責內部系統開發，同時也肩負內部同仁程式能力的培訓。未來所有財政資訊中心的新進同仁都須先到系統設計科接受程式訓練6個月，在此接受安全程式開發生命週期(SSDLC)的訓練後，再分派到各組就職。品質管制科則負責中心內部同仁自行開發或自行維護系統及程式品質管控之把關工作。

3.矩陣式組織建立資安健檢／數位鑑識團隊
原有綜合規劃組的資安管理科專職負責資訊安全管理制度(ISMS)與個資管理制度的維護，而各種網路、資安設備的維運則是由網路規劃科與系統發展科負責。陳泉錫希望能培訓自有的資安健檢／鑑識團隊，平時負責財政部及所屬機關的資安健檢與滲透測試工作，一旦發生資安事件也能在第一時間依據ISO 27037及行政院頒布標準作業程序進行數位證據保全，並設法在第一時間找出攻擊手段，適當處置，而不需空等廠商或司法機關到場協助而錯失關鍵時刻的因應。此團隊編制14人，除主辦1人為專職外，其餘是從其他相關科室與所屬機關指派精銳人員參加，。每周一天參與團隊運作，起初以接受數位證據保全、鑑識／駭客攻防訓練為主，後續即將開始對財政部所屬機關執行健檢及滲透測試工作。

4.滲透測試由內部團隊與廠商輪流做
陳泉錫指出，現有資安健檢／滲透測試廠商水準不易衡量，很難透過量化指標（例如，找出幾個漏洞）來檢視廠商服務品質。因此，透過建立自有資安技術／鑑識團隊，第一年自己做滲透測試，隔年再請廠商做，彼此的檢測結果可以做為比較對照，一來較可檢視廠商檢測品質，知道如何要求，二來也可發現自己團隊之不足，惕勵自己，三則可節省部分預算。

儘管減少部分委外範圍以降低預算不足衝擊的策略，似乎對資服業者來說不算是好消息，但陳泉錫也大力替資服業者說話。他直指目前每年減少10%資訊業務維護費的政策相當不合理，如此一來減少了資服業者的收入，形同減少廠商員工的薪酬，也減少廠商研發經費的投入，亦將傷害廠商的國際競爭力，「扶植資服產業」恐怕淪為口號。因此，若要降低資訊委外所帶來的風險並強化資安，需要從問題根本談起。

政府資安問題的解套從編制適當組織、資源著手
長期在政府機關擔任資訊主管角色，陳泉錫十分清楚政府單位現階段面臨外部威脅的壓力，但內部囿於資源與人力的缺乏，而無法大刀闊斧推展資安的窘境。他剖析長年下來，政府資安策略最根本的問題，在於沒有給予各單位合理的組織與資源。即使制定資通安全責任等級分級，並要求建置ISMS系統，但多年下來，ISMS已成為不管怎麼做都能通過的驗證。且ISMS制度的各項風險控制措施可隨機關自行制定，若只著重各機關資安督導委員會是否按時開會，有無依規定留存文件等程序管理面向，而忽略各機關須有專責資訊或資安人員，負責日常之資安運作管理，於機關執行資安稽核執行時，指派技術人員進行具體技術查核及委請主管機關業管人員參加稽核團隊，對使用者資料使用的行為之適法性，進行程序查核及實質查核（指調卷查核受查人員，其所查調個資資料與工作必要性關聯之查核），恐怕都只是徒具形式，對防範外部攻擊或個資保護無實質效益。

撇開各種畸形的ISMS不談，陳泉錫指出政府機關內要推動資安的另一大隱憂是，未設立資訊單位或位階過低。許多政府資安分級三、四級的機關（指局／處／署／分署等），根本未設專職資訊單位，遑論資安人力，但實際上在這些機關內卻保管了大量民眾個資。就算由二級機關指派資訊人員支援，但其位階過低，無法在機關內主管會議發言，要推動資安恐怕也難得到其他主管奧援。

因此，陳泉錫疾呼推動資安就是要從組織、人力與資源著手。目前立法委員余宛如正提案推動「行政院資訊總處組織法」與「政府資訊單位人員設置管理條例」等草案，希望透過政府資訊長一職的設立來統籌政府資訊業務同時規劃國家資訊政策。

相較於目前行政院資安處推動的「資安管理法」，陳泉錫十分樂見資安法將現行國家資安管理規定由行政規則提升至法律，並將非公務機關的關鍵基礎設施提供者納入管理。然而對公務機關在資安的要求上與既有規範作業並無太大不同。對政府機關而言，大多都已認知資安的重要性，問題在於欠缺落實執行資安管理所需之資源與組織位階問題，因此唯有透過上述資訊總處組織法等草案的立法或推動資訊基本法才能真正解套。

「數位台灣、智慧島嶼」是行政院積極推動的政策方向，然而這一切必須有資安作為基礎，否則資訊系統充滿各種漏洞，不需要網軍駭客攻擊，自己就當機停擺。財政資訊中心透過上述政策重新強化資安，有了資安作為後盾，更有信心推動電子發票與各項電子支付工具或電子商務結合的新應用與新服務。