今(2013)年年初,行政院資安辦與技術服務中心即曾表示將擴大進行政府單位資安稽核與健檢,同時也將資安服務納入共同供應契約。11月中資安服務共同供應契約已正式公告於政府電子採購網。包括資安健診、SOC 監控、弱點掃描、滲透測試、社交工程郵件測試等六大項資安服務,相關項目的計價方式,如採購數量所需人天、服務項目內容都已定義出,廠商的人天費率即為決標單價價格。預料在2014年,資安系統整合商可望受惠。
由於今年政府資通安全稽核作業中,納入資安健診,項目包括網路架構檢視、有線網路惡意活動檢視、使用者端電腦檢視、伺服器主機檢視、安全設定檢視等。且資安健診佔稽核計分不低,因此引起政府機關及產業重視。
產業多半肯定資安健診是結合資安技術與管理的要求,對政府機關來說將是資安工作的重要趨動力。然而仔細研究資安健診的採購規範後,學者與資安顧問均認為仍然有改善空間。精誠資訊資安顧問林文腕認為各種檢視應可定義出更明確的標準,例如防火牆設定方式等,應可依照受檢機關規模來設定不同的標準,才不會讓各服務廠商以各自認定的方式進行。其次,各家廠商最後針對健檢結果給出一份建議報告,但報告的準確性該如何評估或者是否有保證期,例如檢視使用者端電腦是否有惡意程式此一項目。最後,關於以人天費率做為決標單價價格,將來可能會有一些隱藏成本而影響服務品質,例如偏遠地區公務機關的交通往返成本較高,而使服務產生落差等。
不管如何,資安健診是政府落實資安工作的重要進步。有了健診,發現問題之後,就看下一步,是否能確實改善了。