觀點

組織改造,身繫國土 安全與產業策動重責!!

2005 / 12 / 26
王婷儀
組織改造,身繫國土	安全與產業策動重責!!

可信任的政府,從解決老問題開始建立
研考會在政策的研擬上,一向首重「安全」;他們認為任何計畫落實前,安全必須作為需求的基礎,計劃發佈當下,政策才能獲得人民的信任。尤其,每出一次差錯,人民對政府的信賴也隨之大幅滑落,「安全可信賴政府,以人為中心的資訊化社會」是研考會目前挑戰的目標。研考會副主委陳俊麟進一步解釋,人民對政府的信任建立在個人資料的管理,政府機關掌有人民非常詳細且正確的資料,對人民的生命安全與隱私的安全性就賦有責任,如何確保這些資料的安全呢?研考會資管處處長何全德坦承,目前在電子化政府的安全性上,面臨最大的考驗就是人力與預算的限制。
針對沒人、沒錢的老問題,他們在探討組織改造的議題時,一齊把這項問題納入思考;針對整個管理架構進行調整,他們計劃由各單位首長兼任資訊長,副首長兼任資訊安全長,並將所有資訊人員與預算集中於行政院的CIO辦公室專責統籌分配,包括技術和人才規劃、系統漏洞與瑕疵填補、組織保護與人才配置的問題,都將獲得最妥善處理。這些資訊人員直接對中央負責,資訊人員在遇到問題與提出看法時,只要直接與中央溝通,不再需要看單位部門的臉色過日子。除此之外,研考會資管處處長何全德表示,透過每次的政府資安事件中學習,強化安全技術更上一層,同時推廣部會資訊安全觀念更臻成熟,當資安問題有效降至最低,最終希望達到伸張社會公民正義,提高人民對政府政策的參與及信任的目的設備。在改造過程中,政府也希望能協助整個國產資訊產業的發展,目前尚處摸索階段,針對這點代表們感觸很深,提出不少具體想法與研考會互換意見。

提升產業發展,強化政策宣傳
立委李永萍身為科技立法聯盟一員,對於相關議題始終非常關心,就政府組織改造的政策上,依她在韓國的考察經驗以及國際間的觀察,她對資訊長的設立深表贊同,但執行的細目上,也提出個人多項疑問,她認為台灣資訊長與CIO辦公室的角色來說,單單飾演「監理人」的角色是不夠的。舉韓國的例子來說,她們「情報資訊部」的功能不僅止於規劃未來的政策,他們還必須對於產業的發展擔負重責,一旦無法具體提升產業的發展,未來預算上的編列上將浮現危機。參考這樣的方式,曾有學者建議未來設立「通訊交通部」,該部會不但規劃實體交通建設,更計畫台灣通訊與資訊產業的發展,不過現在已決定單純管理交通範疇,也曾有聲音建議交由國家資訊傳播委員會或經濟貿易部管理,就單位性質來說都不恰當。那麼資訊產業到底該交由誰負責呢?台灣產業面臨不知路該往哪走的困境,只好選擇放棄或出走。針對這點,陳俊麟回應,曾經規劃將這樣的責任納為經濟部或國家發展與科技委員會的範疇,不過針對這部份,立委認為必須在基準法上有具體條文或說明,否則在其他產業提出同樣要求時,研考會要如何向這些人交代,這部份需要一些時間斟酌是否有其他方法解決目前困境。
李永萍表示,台灣政府一向是採購大宗,應該率先採買台灣產品,提升國產品的知名度與各界對產業的信心。不過,少數政府與民間的合作上出現部分問題。其中最糟糕的就是官員對資訊安全的需求並不明確,以致提出的要求籠統含糊,最後在執行上,廠商為配合政府現況需求,非但無利可圖甚至虧本,如果沒有一套健全的機制保護產業,最後產業依舊淪為不得不對外發展的下場,最後國家的資訊安全只有委託國外廠商負責,試問這樣的機制你真的放心嗎?專業國產廠商的培植需要國家就採購法與現有法制進行調整,這樣的重責大任需要專責部門規劃,或許可以考慮納為CIO辦公室的範疇內。
執行面上,李永萍提醒行政院應該更清楚說明CIO的職權、位置與功能,否則未來很有可能無法實際發揮功效,甚至大打折扣;在與廠商的關係上,必須更具體支持其研發工作;立法上,她謙虛的表示,立委們在面臨專業領域時,看待條文難免有盲點或不足,只能一邊研究手邊法案,一邊向學者專家求救,了解產業還有哪些是他們不清楚的需求與困境,有時後不一定能很快地獲得回應,這樣的情況下,她希望政府能更主動推出相關法案,這對法案流程與適用度來說都是一種效率。最後他提醒資訊安全法律規範的適用範圍,尤其現在許多公單位都已經法人化,也就是許多執行公務性質的法人機關無法受法律規範時,人民的權益要如何保障呢?舉駭客入侵大考中心來說,考生的成績遭受竄改卻又缺乏特定法規進行制裁時,考生的權益何在呢?應該針對執行公權力的機關制定一套明確的標準或程序,這不但是為他們工作賦予法源權力,同時給予相當束縛力。不過,這樣法規應該納為哪一條例呢?她認為,院會正在協商的NCC法案(國家通訊傳播委員會組織法)是不合宜的,因為國家通訊傳播委員會的中心業務在處理資訊數位化後,通訊及媒體的匯流問題,資通安全也會是其面臨的問題之一,但他們有能力處理的大概侷限在偏重相關的產業,若由他們處理所有資訊安全及資訊產業發展並不貼切,需要研考會針對這部份的規劃清楚說明放在NCC的適當性。

有計畫人才培育,產業質能再提升
中研院科學研究所所長李德財針對資訊安全教育特別有感而發,尤其在對個人的保護上,許多人連基本的警覺心都沒有。舉例來說,各大樓在安全管理上,要求出入民眾提供證號櫃臺登記即可,為什麼需要扣抵證件?即使身分證影本都不應該隨意外流,這樣的觀念教育,從國小、國中就應該被建立,並擴張為全民基本認知。至於專業人才培訓上,發現教授相關課程的學校,通常任意指派資工或資管教授,而非具備專業素養的人才,看到這樣的情形,台灣大學、台灣科技大學、工研院,正在籌備專業資通安全教育中心,希望未來能夠更有系統培植國內對資安有興趣的人才。不過,目前仍待政府在技術、組織、法律面進行更周詳計畫,資安產業才有生存的空間。
對資訊產業上不熟悉的僑選立委莊和子,對於台灣未來資訊產業的發展已非常關心,她表示,對產業的熟悉度正處在學習階段,希望透過與各界的交流,再需要她服務的時候進一點心力。但她提醒,就她在矽谷20年的觀察,台灣的資訊產業真的需要加油、加油、再加油,尤其不能停留在向錢看齊的階段,需要思考如何為社會盡一部分心力,這樣的產業視野寬廣企業,才能帶動企業永續經營。

資通安全等同國土安全,一步一步提昇產業發展
產業界資通電腦董事長余宏揚看到台灣資訊產業的生存之路,真是滿腹的辛酸血淚史,他認為沒有必要反覆提起,但他強力反對將資安產業交由跨國企業負責,他大聲疾呼「沒有資訊安全,就沒有國土安全」,希望政府能正視國產生存的必要性。同時分享一次他的會議經驗,會中刑事局談到上海公安局的預算標準,所以他建議國家的資安預算千萬不能低於資訊預算的15%,師夷長技以制夷,他建議政府參考這項標準。軟協資安促進會總經理陳振楠也提針對這點提出他在韓國的觀察經驗,韓國經驗是由一個單位負責擔綱政府與企業之間的橋樑,一旦溝通成功,產業得以順利起飛就提播預算。韓國政府也有一套完善機制,檢驗或肯定國產企業的發展,缺乏這套機制,國產廠商往往需要向外尋求支援,藉由國際肯定,提升在國內知名度。如果這套機制健全,並順利訂下明確目標與方向,遵循腳步,每次即使只成長10%,台灣產業很快就能通過低標60分,朝滿分方向前進。他同樣地要求各界多多支持國產企業,國產企業在各界的支持下,產品才能朝向成熟之路邁進。研考會回應余宏揚提出15%的資訊預算表示,各單位功能性質不同,尤其部分單位光只用15%預算做資安的話,可能連基本的設備添購或維護都成問題,強制統一標準對資訊安全並無實質幫助,建議將電腦需求人數與設備比照人員需求編入基本維持性預算,系統開發作為另一預算編列,如果各部會認為這樣的方案真的可行,研討會將更進一步研究可行方案。

有想法、有方法,資訊委外讓企業更安全
政府其他單位也針對各單位也針對資安工作實際的執行情形,分享他們看法。行政院主計處電子資料中心副主任劉勝東提出,資訊安全不一定要全部由各單位自己全盤負責,委外是一個相當值得參考的機制,前提是以法律為根據,保護合作雙方權益,同時政府必須有能力開出明確得規格提供配合廠商落實,尤其資訊部門內,必須要有員工了解確切的問題,並擬定詳細的解決方案,否則對於委外的單位來說,最後只會後患無窮。即使如此,單位還是必須具備既定預算,足以長期支付委外用與系統維護費用。臺北縣政府研考室紀政高永煌針對其資訊委外的經驗來說,他認為,既定經費與人力支援下,資訊設備交由內部資訊單位承攬,巨大工作量無法消化下,現政府反而必須承擔更巨大的資安風險,以他來看,不得不將這一部份委外,交由外部單位負責,他相信,只要能訂下明確的合作與監理機制,委外反而能降低現有承擔的資訊風險。舉例來說,與各單位的合作除了簽訂明確契約,他也將工作分工交由不同廠商負責,避免一家廠商獨大,縣府工作最後受其擺佈;他們也以「買人不買案」觀念向資訊負責人員承諾,表現良好,即使該單位不再負責縣府的業務,縣府願意繼續維持和資訊人員的合作關係,讓資訊人員認定縣府才是他的老闆。委外已成商業合作的趨勢下,法務部資訊處處長陳錫泉建議公部門對資訊委外業務的評估上,可以參照主計處就民間與政府在電腦與資訊人員的比例數值,對照是否可以達到應有效應,甚至進一步參照國外程序與標準,相信在幾次的合作經驗磨練後,各單位對於委外不再心存多項顧忌,合作方式也將更趨成熟穩定。另外,他認為資訊安全問題應該不再侷限資訊部門,應該納入會計及人事部門範疇,針對需求人力與設備共同研擬恰當比例,一同為部會資安努力。

問題關鍵在溝通
透過這次對話,研考會更明白民間產業的需求,不論是在法規面上修正或政策的宣導。舉CIO辦公室的概念來說,基本上各界的看法是支持的,不過立委對這套機制真正的功能並不了解,甚至曾經聽到取消CIO辦公室的傳言;民間上來說,大致上也持肯定態度,但是對他的定位與衡量能力的基準心存疑問,令人對CIO的專業能力感到質疑與不安。除此之外,座談中也發現,資訊部門在與外部單位或上司溝通時,往往無法掌握讓他們快速理解的關鍵字,以致於設備或政策上的需求無法與其他人員達成共識,研考會考慮針對這點強化資訊人員的溝通能力,協助他們跨部會、跨層級溝通無障礙,讓企業的資訊安全更安全。