憑藉著過去推動政府e化工作的經驗,楊朝祥期望考選部在試務、試政e化的層面上還能夠加大、加深。
當筆者依約前往考選部採訪時,赫然發現考選部正在8樓大禮堂舉行資安訓練活動,而這場教育訓練活動的主持人正是考選部部長楊朝祥,台下座無虛席,參加訓練的同仁莫不聚精會神,顯見楊部長對於推動資安教育訓練之用心。
當問及為何有如此大陣仗之資安訓練時,楊朝祥指出,考選部因存有大量應考人、命題、審題、閱卷老師,及考試題庫等敏感資料,讓他更加不敢輕忽對資訊安全的重視,除了於部內擬定嚴密的資安政策及培養同仁正確的資安觀念外,也嘗試延伸對資訊應用的可能,藉此提升部內資訊化程度。像是針對國家考試的報名方式,過去係採取郵件、網路報名的雙軌制,但為提升國內資訊化及使用者的方便,考選部規劃未來將全面採取網路報名之單軌作業模式;而過去推動電子化政府之際,已於鄉鎮公所內建置電腦設備,可作為網路單軌報名作業建置之基礎,避免偏遠地區因沒有網路導致無法報名的情形發生。同時,考選部也預計建立應考人資料檔,讓二次報名的考生不需再備妥畢業證書等書面資料即可報名,以減少報名手續的繁冗。
凡此種種,皆是希望能將資訊發揮其最大效益,讓更多使用者享受其帶來的好處。然而,若要擴大使用範圍,勢必要將「安全」納入首要考量。
資訊擴大應用 安全不可少 對考選部而言,未放榜榜單及應考者等資料,是部內最需保護的資訊,在這部分,皆有獨立的網段進行作業,所有保護政策,也均依循ISMS的規範。而為了管理及安全考量,部內全面禁止使用無線網路,考選部部長楊朝祥笑談,他是電腦重度使用者,甫上任時,自行攜帶NoteBook,欲架設一簡單的無線網路使用,但此舉卻被資管處處長林裕權阻止,讓他只好乖乖遵守部內規定。值得一提的是,社交工程猖獗,考選部亦將之視為防禦之重點,成效相當顯著,將今年1月與去年10月相比,個人電腦中毒案件,足足降低6倍之多。
楊朝祥對資訊應用及資安相當重視。考選部刻正推動4年資訊發展藍圖,該藍圖分為3主軸,包括第一階段的考試相關業務資訊,如報名、成績計算之系統整合,以方便資訊人員事後的維護事宜;再者,是規劃可於電腦上作業的電腦化測驗,舉例來說,傳統建築師考試,動輒就要花費8小時,但如果能於電腦上繪製設計圖,可大幅減少應考時間與應考者的負擔;最後一階段,便係針對行政面的資訊訊息整合。像凡舉辦考試,長官會關心應考、缺考率,但過去皆是使用紙本或口頭報告,造成作業不便與資源浪費;因此,若將資訊訊息整合,其工作效率亦能有效提升。而至於最令人擔憂的安全議題,考選部所有作業流程都秉持著ISMS規範進行高標準審視,避免衍生不必要的資安威脅。
加強首長認知 讓各單位動起來
楊朝祥指出,資安事件,要防範於未然,除了不斷精進部內流程的控管,人員資安意識的強化,亦是其重要關鍵。曾擔任研考會主任委員、教育部部長,跨越兩院三部會的他,承襲過去服務單位對資訊的重視及管理的經驗,他認為,提升人的觀念最重要,資訊安全成敗,徒有完善的IT工具及技術是不足以支撐的;首長的支持,是取決資安工作推動的成功關鍵。他進一步指出,部會首長的重視,是同仁隨之進步的動力,加上其對資安的態度,更會對所屬機關,甚或是負責的業務範圍造成深遠影響。然而,一般政府部會首長,卻因為鮮少機會與電腦接觸,故對於資安及資訊應用不見太深體認。
不過楊朝祥笑談,他很慶幸過去服務過的單位,皆設有專責的資訊單位進行資訊化作業,像研考會及考選部就設有一級單位資管處,而教育部電算中心目前雖不是正式單位,但由於該單位不僅要建置教育部內的資訊系統,還要負責學校資訊教學的推動,故教育部電算中心對資訊的重視可見一斑。他指出,專責的資訊單位,對各機關的資訊化程度相當重要。像文建會發展數位文藝創意產業、各部會機關電子公文傳遞,及過去他於研考會提出,運用網路VPN傳輸進行遠距會議等工作,都需透過資訊化作業才能收效,使更多單位受惠。他進一步說道,由於台灣在生產資訊產品已具有口碑,加上教育部持續對資訊人才進行培訓,包括提升國民中小學電腦素養、電腦資訊的專業,及培育軟硬體的專業資訊人才等政策,使過去全球政府電子化程度調查臺灣能奪得第1,展現傲人成績。
楊朝祥憶起國內過去對於資訊教育的提升普遍不足,他指出,台灣資訊教育都是從大專做起,而美國則是從小就開始培養,將觀念根深蒂固。因此,為了深植台灣學子的觀念,當時擔任教育次長的楊朝祥,在80年代初期遂開始推動國民中小學資訊教育發展與改進計畫,規劃1期24億的資金預算,第2期更增至48億,希藉此強化台灣過去對資訊教育的不足。而這項政策,也已繳出漂亮的成績單,國民中小學早已於多年前,開始規劃電腦教育課程,來提高中小學對資訊應用的認知。
楊朝祥進一步表示,資訊觀念的強化,其實如同三夾板。已具備資訊素養的新進同仁,對資訊應用的習慣與要求自然會比較高,因此要形成從下而上的推力;而部會首長,有了對資訊應用更深一層的認知,自然形成由上往下的助力;資訊觀念經由這樣的上下夾攻,整個單位的資訊應用就會很快的鋪展開來。如此,一些與該單位業務相關的單位,又間接被引導出資訊應用的好處,進而鞏固其資安意識,重視民眾的安全隱私。他指出,資訊已無法與現代人生活及工作脫離,正因如此,儘管部分部會首長缺乏資訊領域的經驗,但現在普遍於觀念上都有明顯提升。
資訊人員 技能、認知、態度缺一不可 而既然各部會首長對資訊觀念已有所增進,因此在其應用的規劃與執行,亦必須尋覓輔佐之人才。首先是資訊主管,楊朝祥指出,他過去所接觸的資訊主管,都備有以下相同特質:
1. 一份對資訊的使命感:楊朝祥認為,資訊主管若能將資訊業務的推動當作使命,必定能將每項專案皆做到盡善盡美。
2. 資訊專業技能:具備專業的知識與技能,方能在領導下屬時,更具有說服力,使其信服。
3. 展現高度EQ:資訊部門常需與其他單位進行業務交流,若欠缺良好溝通,單有首長支持,無法與別單位充分配合,即使有種種政策亦是徒勞無功。
楊朝祥指出,一般主管最缺乏的就是EQ的展現,而這部分唯有從每一次業務交流之餘,藉此培養其對資訊重要性之認知。
再者,挑選一適任的資訊人員亦是考驗部會首長的課題,楊朝祥說,資訊人員挑選不易,最重要是要有正確的態度。而資訊人員取才,首先必須具備專業技能及對資訊有良好認知,並了解資訊與資安的重要性,方能進一步建立態度,改變其價值觀,使其積極並全心推動資訊化作業。
結論 不論是政府機關或企業單位,一個了解資訊應用的主管,因為重視資訊的多方應用,勢必會對安全有更深的體認;而也因為熟悉資訊,也更易發現其所衍生出的安全問題,進而克服、解決,從而確保組織資訊的安全。
楊朝祥:資訊安全把關自己來
為因應資訊快速發展,楊朝祥於擔任研考會主委期間,曾提出公部門資訊委外的政策,讓政府機關在經費預算與人力不足的情況下,委託外部廠商協助進行IT系統建置等工作,並促進資訊產業的發展,扶植產業茁壯。
種種想法,原是美意一樁,但許多單位錯將整體資訊委外,變成裁撤資訊人員的政策,導致對委外廠家言聽計從,連責任都予以委外了。殊不知,單位仍需培養資深資訊人員,才能真正掌握單位的資訊需求,精確評估協力廠家、管理委外廠家的可信賴性。因此,楊朝祥強調,資訊工作應當固本培元,畢竟本單位的資訊人員才是確保該機關資安的中堅,在進行委外案時,不要連安全工作都假手他人了。 |