我國政府參考一九九三年美國政府所提出的「透過資訊科技再造政府」(Reengineering Through Information Technology)報告提出的想法,自民國八十七年至八十九年推行「電子化 / 網路化政府中程推動計畫」。其主要目標包括:
●建構「電子化 / 網路化政府」基礎網路,提供各界便捷的資訊、通訊、線上申辦及其他服務。
●推廣網際網路的普及應用,推動政府人員上網,並使用電子郵件等基礎服務處理業務。
●健全政府資料流通機制,便利民眾查詢;促進政府資料加值運用。
●增進各機關公文處理效率,推動電子交換作業,提升政府機關行政效能。
●整合政府資訊,延伸政府服務據點,延長服務時間,提供「一處交件、全程服務」。
●建立可信賴的資訊與通信安全環境,便利政府資訊作業順利運作,保障民眾權益。
依據上述的目標之一,「建立可信賴的資訊與通信安全環境」,在行政院經過多次的召集專家、學者等研究、討論,終於在民國八十九年八月三十日奉總統核定「建立我國資通訊基礎建設安全機制計畫」,並於隔年一月十七日經行政院院會正式通過該計畫。
該計畫於行政院下設立國家資通安全會報,由行政院院長擔任召集人,並於會報下設技術服務與綜合業務中心、標準規範工作組、稽核服務工作組、資訊蒐集工作組、網路犯罪工作組及通報應變工作組等六個工作組。至少每半年召開一次會議。
行政院研考會於民國八十八年已頒佈「行政院及所屬各機關資訊安全管理要點」、「行政院及所屬各機關資訊安全管理規範」,要求所屬機關應依管理要點落實資通安全。行政院主計處也自九十年起,推動「資通安全外部稽核服務團」,協助各單位檢測其資通安全落實情況。本文以下相關討論議題,有些是來自外部稽核服務團的一些發現。
現況分析
依據行政院主計處對四十六個單位的稽核結果,概略將各單位常見的問題敘述如下:
●高層主管誤認為資通安全是資訊部門的責任。
●資通安全只為少數人認知,大多數人只需規範即可。
●沒有必要擬定文件化的資通安全政策,有執行即可。
●由於同仁競爭,資通安全策略放於各幹部腦中,較少見諸文字。
●落實與政策尚有差距,管理與設備無法正比例加強效益。
●資訊人力缺乏,業務同仁轉任意願不足。
●內稽宜加強,重要資訊的安管宜嚴密。
誰是單位的資訊安全長?
誰是政府的資訊長?誰是中華民國政府的資訊安全長?其實這兩個問題是有些順序在的。依據過去電子化 / 電腦化的的經驗,資訊長的需求會先被提出來,再來才是資訊安全長。因此,若至今政府依然無法找出個資訊長,我想目前要問誰是政府的資訊安全長,無疑是緣木求魚。
因此,目前各政府單位的主管,依然直覺的認為,「資訊安全」應該就是一種「資訊」工作囉!「資訊」當然是資訊部門的工作。所以各單位都將「資訊安全的政策」交由資訊部門去擬定。下一階段的推動即是推動「資訊安全政策」,還是「資訊」嘛!當然又落到資訊部門的工作。等到上級單位要來稽核之時,誰該來接待呢?「資訊安全稽核」!不是資訊部門就是稽核部門?最後主管會請誰負責呢?各位看倌或許會有不同的意見或想法,不過就筆者的經驗,依然是資訊部門的任務。
由上述的一些模擬情況,各位是否已經猜出,各政府單位主管的想法中,誰是該單位的資訊安全長?沒錯!就是資訊部門主管。理論上,這是不適當的想法與作法。一般而言資訊安全長應該是政策管理單位,負責制訂單位整體的安全政策,並且負責督導其落實情形。而資訊部門應是執行單位,依照單位的安全政策,建置相關安全措施,以滿足安全政策所要求之安全目標。因此兩者不宜由同一單位兼任。另外,這也反應出各政府單位現階段所面臨的問題:
問題一:資訊安全的人才不足
就政府單位的資訊部門而言,有大部分的資訊部門人員都是約聘人員,這些約聘人員當時都是負責資訊系統的操作維護、少部分程式的撰寫及網路的管理。大部分的資訊部門人員對於「資訊安全管理」、「資訊安全稽核」都是相當陌生的。因為後兩者所強調的是管理層面,而這些約聘人員的既有技能卻是技術能力。因此,如何找到或是培養這類管理、稽核人才是當前各單位主管的重要任務。
問題二:資訊安全稽核人才的不足
就各政府機構的政風單位,有能力介入資訊安全稽核的人數,屈指可數。這可由各類教育訓練的出席情形略知一二,在各項舉辦的資訊安全稽核的課程中,各單位選派之種子還是資訊部門的人員,理由還是「資訊」二字。
還有一項觀察,各單位主管並不是很清楚自己對「資訊安全」有著錯誤的理解。不但認為「資訊安全」是資訊部門的任務,而且所有上級訓練課程,都還是指派資訊部門人員參加。殊不知將自己推上薄冰,就資訊化的世界中,很多資源都掌握在資訊部門,因此資訊部門若出差錯,很可能都是無法彌補的錯誤,聰明的主管,應該很清楚筆者的言下之意。
建立資通安全事件回報體系之觀察
進一步分析行政院的國家資通安全應變中心(www.ncert.nat.gov.tw)的通報統計,可得知接近兩年的期間,全國的資通安全事件合計發生七十件。這個答案可能有兩個解釋,第一可能是政府的資訊安全做得很好,所以事件很少;另一種解釋則是,雖然有安全事件,但是各單位並未確實通報。比較合理的理由應該是後者。所以最近行政院資通安全會報公布了「資通安全事件通報獎勵要點」,以鼓勵各政府單位及公民營機構踴躍通報資訊安全事件。
其實,上述的作法,藉由筆者的狀況模擬,就應可知其不可行之處。
假設您是貴單位的資訊安全通報負責人,貴單位若發生資通安全事件,您第一個通報的對象是誰?沒錯!就是您的單位主管。此時主管會給您一個選擇題,這個事件您是否可以解決?此時您的答案會有兩種,一是「可以!」。若是可以解決,那就趕快處理啊!「那要不要回報?」「都處理好了回報什麼?家醜有什麼好宣揚的!」;另一種狀況則是「報告主管,我可能無法解決!」那主管可能在他心裡也回您一句「要你何用?」。基於上述狀況模擬,您有可能因為什麼獎勵措施而去通報嗎?答案很明顯的是否定的。
所以有句順口溜是這樣的「見報就報,不見報就不報」,第一個「報」字是名詞的報,指的是報紙等媒體。由上述的說明,目前各機關尚處於見招拆招的階段,為落實通報,降低安全事件之影響,則還有待相關單位提出更具體可行之方案。