https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

提升政府資訊應用強化整體資通安全 專訪國家資訊新舵手—林逢慶政務委員

2004 / 07 / 12
侍家驊
提升政府資訊應用強化整體資通安全       專訪國家資訊新舵手—林逢慶政務委員

從當初規劃者直接跳到第一線督導執行
資通安全會報當時規劃時,眼見各政府單位及民間,不是求救無門,就是分別有不同的通報系統,或是不知到有哪些資源可運用,哪裡可獲得協助,眼見資安的重要性,林政委主動第一個跳出來協助規劃。
當時政府並沒有統合單位,要改組織,茲事體大,資安又哪麼重要,不能等。當時為NICI委員,參照台北市建設局長任內防災體系,如何統合資源、儲備必要資源,通報系統的建立,提出國家資通安全會報的方向,並被採納。

資通安全會報為虛擬單位,技術支援又很重要,必須緊急處理突發事件,同時又要統合學界、業界的能量。林政委當時擔任資策會執行長,與蔡清彥政委討論後,調集曾從事Y2K專案人員20多人,由資策會副執行長親自督導,未拿政府任何預算之下,先做了半年相關建制工作。


資通安全會報將著重政策研擬與部門協調
林政委也回顧了資通安全會報目前的成果,同時提出下一階段的執行方向。會報最大的成績,應該是資安觀念與認知的大幅提昇,其他如:政府及重要事業單位資安防護體系的建制、不斷的訓練宣導整體資安觀念與防護能力的增長、各部會分工所建立的稽核制度、政府單位因資安重要性訂定等級、明確化各項資安工作重點及進度、整合全國資安資源並提供適切的技術支援。這些都是值得肯定的成果。

但是有些將是會報要再加強的地方,其中最重要的就是將更專注於:『政策研擬』、『跨部會協調』、或解決『跨部會共通性問題』。其他重點包括:
1. 因應環境及技術的變化,目前政府單位的分級將重新檢討。
2. 要求各單位自我肩負起管理上的及技術上的責任,應該由各單位自己體認並強化自我防護。
3. 加強各部會首長的commitment。唯有首長下決心,才能真正貫徹執行。
4. 資通安全會報從無到有,希望資安觀念在各單位生根。 而各單位仍有通報的責任,絕對不能有『不需要協助就不必通報』的錯誤心態。
5. 技術支援單位仍需存在,並依最新技術演變、國際相關標準、國際潮流,能夠對決策作建言,同時又能達到技術諮詢與技術相關訓練的職責。
6. 不能一直靠學術界的支援,必須建立防護小組。小組未必是常態編組,可能分佈在各單位,需要時可快速成軍。另外就是 SOC 也應儘速建立。現在資安事件規模越來越大,層出不窮,有時需大量的人力投入。服務能量增加的同時,技術也必須快速精進,因為道高一尺、魔高一丈,新的挑戰源源不斷。
由於突發事件持續存在,技服中心勢必繼續運作。同時,常態性的機構應由常態性的單位來管理督導,所以必須規劃直接督導單位,預算則依據資通安全會報的政策作編列。


資通安全會報仍只將專注於政府單位
基於資訊的敏感性,政府與民間仍應分開,所以資通安全會報仍以政府單位為主要對象,不主動直接涉入民間企業,但可被動地應民間的要求予以協助。但對於與民生相關的領域如公用事業及金融機構,政府有責任加以規範。

雖說政府不宜介入民間企業,但是internet上的必要規範也須明確,G(政府) to B(商業機制) to C (消費者)間存在太多模糊地帶,例如有人透過ISP入侵政府資料庫,ISP該不該負責?應該藉由修法予以規範。

說到攻擊事件,許多的攻擊來自海外;相反的,有些是透過國內的機器當跳板攻擊國外。所以主動加入國際性相關資安組織,或與他們保持緊密聯繫,也是一項重要工作。


政府應拉高資訊部門及人員的層級
政府目前資訊人員的編制,不是員額不足就是職等太低,對於整個國家在資訊應用上勢必造成瓶頸。林政委高度認同資訊人員的重要性,當時他在台北市政府時,就建議將資訊中心提升為一級單位。更重要的是CIO的角色扮演,它可以將政府或組織的資訊功能充分發揮出來,在英國有e-Minister,猶如資訊部長,直接向首相負責。

先進國家通常讓『電子化政府』與『政府改造』齊頭並進,甚至合而為一。即使一些開發中國家,也將資訊與科技合併為一個部會。但是國內目前尚未做這種改變,短時間內應該加強資訊人員的功能角色,強化他們的規劃、審議、及專案管理能力。

這部分的確要加強,目前不要說先進國家,甚至有些發展中國家也比我們快。未來在縮短數位落差、e化社會…等,有非常多複雜且橫向的整合要做。我們有功能性的編組,部分功能或可發揮,但就長遠來看,的確以常態化的專責機關較為合適。

除了常態化之外,CIO的觀念也要改變。許多國內的CIO,其觀念也不過停留在supporting的角色,CIO會議往往流於計畫間的協調而已,更糟的是協調的是既存的計畫而非新興計畫。CIO應該往前看,具前瞻規劃、計畫協調、資源分配等功能。除了事情之外,還須注意人力的問題,確定有沒有人去做,簡單的說就是必須能夠同時掌控『錢』、『人』、『事』。

培植安全產業是既定政策
林政委在任資策會執行長時就意識到安全產業的潛力,一個產業的形成需要同時有『供給面』與『需求面』。當時資通安全會報作規劃作業時,幾乎可馬上看到龐大的需求面被創造出來。政府單位分級與目標訂出來,A級單位該做什麼?B級單位該做什麼?馬上看到需求;透過演習,有哪些單位被攻入,花多長的時間回復,全部上報院長,單位主管能不重視?稽核制度的建立,從外部稽核到下一階段強調內部稽核的建立,這會激發出自發性需求;另外為了取得認證,必須事先做好所有該做的事,又一次的保證需求。

需求面容易產生,但供給面就需要更加努力了,這也不是會報所能單獨解決的。與產業相關的有國科會、經濟部,科技顧問組即將於八月舉行的SRB科技產業策略會議,將把如何建立台灣安全產業(Security Industry)列入重點討論主題,同時邀請國內外專家提供意見。屆時透過研議、作出決議,再由科技顧問組發函各相關部會,要求計畫務必執行,同時建立自有的技術或技術移轉。例如國家的SOC,就增加許多次的艱難談判,務求相關技術能移轉國內。未來科技顧問組會特別加強這項工作的落實與追蹤。

全力保護個人資料
針對之前國內連續不斷的資料外洩事件,林政委也表達了他的看法。
目前有許多相關法規:電腦處理個人資料保護法(電腦兩字將取消,同時適用範圍也會擴大)、刑法、通信保障監察法、電信法…等;行政命令部分,行政院也頒佈過行政院及所屬各機關資訊安全管理要點。相關法令是足夠,出事時或許找得到適用法令,但實際的問題是『多法』、『多管理機關』,當一件事有多個單位管理,就容易造成三不管或一管再管而徒然擾民。長遠來看,比較好的方式應該是重新整理成立專屬的個人資料保護法,並成立專責機構獨立運作。法的秩序建立之後,一出問題可以馬上對應出來適用法規,並由專責機關迅速處理。

後記
政府的資訊應用不夠深,以致我們一直沒有專門負責資訊的部會,同時也矮化了資訊部門及資訊人員的位階。面對快速演變的資訊應用環境,政府部門間協調整合能力不足,往往造成許多的亂象或延遲。我們希望目前的資通安全會報能在政策擬定以及跨部門協調方面能夠更快、更有效率;林政委的個人理念能快速轉化為國家施政政策,成立專屬的部會,肩負起資訊及資安的相關職責,方能真正建立台灣安全穩定的資訊競爭力。