觀點

研考會一路披荊斬棘,重塑國家強健資安體質 打造政府資安新境界

2005 / 09 / 05
王婷儀
研考會一路披荊斬棘,重塑國家強健資安體質 打造政府資安新境界
研考會這幾年為了順應全球發展趨勢,推行不少便民政策及積極建立更有效率的政府,如電子化政府、提供外國人服務專線、地方施政績效評估、政府組織改造等,針對這部份行政院研考會副主委陳俊麟三令五申地提醒同事,推行任何計畫和服務前,第一個要求就是安全;安全非得擺在首位,寧願時間晚一點,也要把安全做好。他認為,一旦問題發生,民眾對政策的信心產生動搖後,即使擬定的規劃再完善無缺,人民也很難不再提出質疑,事後投入更多心思彌補也未必挽回群眾的信任。一位非資訊相關背景的副主委,對於資訊安全的重要性有這般體會,非常不容易;而他對資訊安全的重視與堅持,也讓我們對政府新資安體制的遠景抱持樂觀的期待。


規範清楚 便於執行
科技不斷翻新,世界變化的速度越來越快,現有的資源越來越趕不上問題變化的速度,雖然行政院研考會在民國88年就已經頒布「行政院暨所屬各機關資訊安全管理規範」,但目前已經無法應付政府面臨的各項資訊安全危機。為此,研考會參考改版後的ISO17799,邀集專家針對現有條文不合時宜的部份進行討論,補充管理的程序與參考指引,擬定了一套更有利資訊主管落實管理的方案,這份文件可以確切地告訴執行人員如何落實資訊安全,並可有效幫助政府機關將內部資訊安全風險降至最低。

沒人沒錢 不再重演
國內推展資安的難處,除了高階主管對安全的認知不足外,最嚴重的就是沒錢、沒人,陳俊麟認為當前美國的作法值得借鏡。白宮與各州在各院及部會設立CIO(資訊長)和CIO Office(資訊管理處),CIO Office列屬於一級單位,陳俊麟強調,上述作法最大的利基點在資訊資源的整合與共享。過去,資源分散各單位,會有下列情形發生:每個單位能夠利用的資源很有限、而且不同單位可能重覆執行同樣的事情,形成資源的浪費, 最麻煩的是各單位採用的系統不一,對資料彙整或系統環境的管理形成相當程度的障礙。CIO的出現,在統整行政院(或各部會)資訊安全的策略、規範、法令、基礎建設、管制、評估追蹤、資源投入等,可以進行更通盤的規劃與調度。CIO Office的設立不但可讓系統環境單純化,相較之前模式,組改後資訊管理人員的位階不僅獲得提升,更握有充分的權限以配置需求資源,他們的專業意見也將受到更多的重視。

獨立設置CIO Office還有另一項意義。目前政府內部資訊人員係定位為「資訊管理人員」,在院(部)會層級下的單位,資訊人員的配額不多,大概在1至2人,工作內容包括資訊架構、專案管理、評估、結果驗證等,主要是針對決策、管理與支援相關的事務。上述資管人員若由 CIO 辦公室直接指派,這些資訊危機意識比較高的專業人員在掌理相關問題時,思考的面向會比較周全,職掌上也是對CIO Office辦公室負責,不必承受其他單位的壓力,更可強化對各單位管理面的督導。至於其他單位組織有特別需求時,可以另行規劃,如內政部警政署員額特別龐大,系統比起一般單位也較特殊,需要配給較多資訊人員或提供較多支援時,可以自行設立CIO Office。

這項轉戾點對資訊化時代來臨具有指標性地意義。它建立更流暢的資源共享平台、為軟硬體作更有效的規劃、並解決現有組織結構下的問題。面對E化的世代,若仍一昧承襲過去體制,未就現況進行改革,政府將承受比開倒車更不利的管理風險;面對新體制,除了需要花一些時間適應外,其過程將帶給公務人員新的刺激與新的學習成長機會。未來,政府組織架構必定朝向更簡化發展,公務人員工作範籌將偏重管理,這項變革希望可以有效縮減每年既定的固定成本,同時讓工作效率的提升再上一層。不過,行政院組織法草案在立法院中尚待朝野協商共識,在朝野達成共識、立法院通過三讀前,不能光是枯坐等待結果,還有更多事前的準備動作可以進行。


教育推廣 資安認知建立的基本功
資訊安全管理的工作吃力不討好已經不是新鮮事,尤其沒有重大事件發生時,鮮少有高級主管意識這項工作的重要性。在組織改造進行前,很多業務要提前推動,不該讓資安工作的推動有片刻停滯。尤其在導正主管觀念偏差上,將從教育著手,讓主管快速地瞭解到底什麼是資訊安全?要怎麼做?另一方面,向首長的機要幕僚灌輸資安的重要性也是一項不容忽視的工作,他們與首長互動密切,又往往握有機敏資料,藉由教育他們、進而將資安觀念傳達給首長,將可收事半功倍之效。此外,在一般人員的訓練上,則開辦簡要教育課程、或以派發電子報方式增加對資訊安全的了解,讓公務人員在日後對於政策推行的配合度能轉為更主動。最後,輔以年度工作績效考核的方式,半強迫性增加公職人員對教育訓練的參與和工作配合,因為,每一位公職人員都無法迴避自身所負資訊安全的責任。目前陳俊麟同時兼任研考會CIO的角色,對於研考會自身的資安認知上要求更高,除提供教育訓練課程外,更讓研考會導入BS7799標準,讓同仁們對資安的重要性有更深刻體驗,從自家開始做榜樣,強化資安推行的說服力。


結語
陳俊麟最近參訪美國各機關的安全基礎建設,對於美國縝密的安全管理流程印象非常深刻。從白宮、五角大廈、地方政府、到一般民間企業,幾乎都將安全管理的優先順序擺在營運業績爭取之前,不只是形式上的門禁、訪客管制,包括談話的內容都不輕忽。尤其在911後,可以感覺出管理人員對流程的每一個環結都像拿著放大鏡細看般的小心。對照台灣的現況,對於安全的認識不但不足,很多觀念甚至是錯誤的,藉由研考會對組改的規劃與資安工作的落實,除了建立全民對資訊安全的危機意識,更重要的是,透過學習的過程培養遵從制度的文化素養,為建構資訊安全社會打下良好的基礎。