為什麼，需求資安? 專訪行政院資通安全處處長簡宏偉

2020 / 03 / 18

潘后儀

二月十四日這一天，太陽露臉了，空氣的溫度漸漸暖和起來。早上九點半，當我們一踏進明亮的辦公室，就看到受訪者已經坐在辦公室內，馬上笑容可掬的起身歡迎我們前來，看起來受訪者已經待在辦公室內工作一段時間了，精神飽滿的他開口第一句話，「今天要聊些什麼呢?」這句話，展開我們今日的對話。

回顧四年前，2016年8月1日行政院正式新設立資通安全處，由前國發會資訊處處長簡宏偉先生擔任資通安全處首任處長，主要任務負責資安政策的制定、資安工作的執行，以及推動資安產業的發展。距今四年期間，歷經2018年5月11日《資通安全管理法》三讀通過，2019年1月1日正式實施，實施至今已經屆滿一年，從母法的制定到各產業子法的細則，這其中歷程許多的修正、溝通、協調與督促，乃至今日的推動《資通安全管理法》所制訂的方向與內容，正逐漸朝向落實的目標。

今天我們的受訪者就是推動《資通安全管理法》的大舵手，行政院資通安全處處長簡宏偉先生。

今天，我們只聊一個話題: 為什麼，需求資安?

轉換觀念，奏效變化
台灣科技的技術能量與製造能力在全球產業競爭上是有發展空間的，但是如何讓產業競爭力不是曇花一現，而是與時俱進呢? 行政院資通安全處處長簡宏偉表示，我們從資安的核心來思考，以現階段的資安認知在各產業逐漸擴張，很熱門，但是我們又該如何將資安的觀感轉換成為企業投資的觀念呢?

簡宏偉處長以科技製造業為例，我們國內製造能力很強，可以製造出許多網路通訊設備的產品，但是如果每家網路通訊的製造商，當大家的產品功能都一樣時，我們則需要自問「我的產品競爭力在哪裡呢?」，通常一般製造業者會進行調整的方式，從售價開始，讓售價降低，管銷面則將製造技術、人力等等移出國內，移到低成本的國家區域，如此循環容易成為一片紅海，紅海不是一個健康樣態的產業，而是一個勞力密集的工業。

資安 = 投資
我們明白「產品品質」會是成為企業交易的最後關鍵籌碼。然而，「資安」又如何可以成為企業的關鍵籌碼? 且轉化大眾對資安的看法呢? 簡宏偉表示如果我們將「資安」視為投資，當產品製造業者也認同，當一個資安功能放進產品內，可以讓他們的產品與其他業者的產品，相比之下有顯著的差異化，同時讓自身的產品利潤提高了20%，那麼製造業者將會提升高度的願意，將資安功能納入產品設計製造中的一環。

整體的產業生態系統(Business Ecosystems)只有供給端願意這麼做，還不算完備，我們還需要需求端(產品使用端)，能夠接受資安功能在產品中是重要且是被需求的觀念。如此，供給端與需求端彼此雙方有了共識後，產業生態系統的運作才會順暢與提升。
全民共識與協力是啟航
簡宏偉處長進一步說，其實不論是個人使用者，家庭使用者，中小企業，關鍵基礎設施，政府機關等，都會有資安的需求，如果企業不需要資安的時候，我們大家談這些都是唱獨角戲，資安產業起不來的，如果大家有共識真的需要資安，這個產業才會起得來。

我們需要回歸到企業本身的根基面，自問「為什麼我的企業需要有資安，需求在哪裡?」因此，「需求」定義清楚，是為我們的首要。

簡宏偉處長謙虛的表示，《資通安全管理法》確實是從政府機關和關鍵基礎設施提供者，從法規面要求，且透過政府力量將此需求具體呈現出來，這算是半強迫性，同時也希望政府能先率先以身作則，成為示範指標，將「需求」拉出來，讓其他產業逐步跟進。處長不諱言，這些都還是屬於被動性的做法，因此在這種情況下，企業使用端依舊很難判定，企業本身的資安到底是不是做得完善，做得足夠，做得可以過關，此樣態對企業端(使用者)而言，資安還是成本的概念，非長遠重要需要的安全營運投資的觀念，因此非常需要供給與需求彼此有堅韌的共識與協力合作，才是我們真正的啟航。

產業自身核心的資安不忽略
如何讓企業需求端充分理解，資安對他們是重要的，是必須去做的，而且還可以保護他們的資產，這才是他們的需求，簡宏偉處長清楚地舉例出幾個指標性的產業，例如高科技產業的營業秘密保護與目前最大的問題，IP智慧財產的保護；醫院醫療對個資的重視和病歷資料的保護；金融產業除了個資的保護外，還有交易上的保護；政府機關與關鍵資訊基礎則是敏感資訊的保護；廣面的雲端網路資訊的串流，尤其需要重視管理面的保護，另外企業內部的稽核與風險管控，則是需要認識外在的第三方如何協助企業，甚至輔導企業遵循制度將管理面做好。

處長更進一步表示，如果企業使用端能夠在逐步的理解情況之下，從需求端開始接受資安，讓資安成為公司治理的一環，位居公司組織內化的一部分，此刻的資安才會是企業關鍵的核心籌碼，也才是真的所謂回歸根基，長遠營運，不再成為沒有錢時，就成為先砍預算的對象，這也才是名符其實，落實資安需求的推動與資安產業的推動。

從認知走向接納，進一步落實
對話最後，簡宏偉處長回憶起過去四年，資安處成立時，當時為了讓大家認識資安，著重點在於鼓勵與督促，就是去做(just do it)。四年後的今日各界產業面與資安從業人員，無論在資安的觀念與技能上均趨於成熟與專業，因此，處長鼓勵企業產業們，下一步，回頭看企業本身，將認知面的資安、進一步走入接納面的資安。因為，當企業本身知道為何要做資安，也接受資安的重要性時，法遵的要求將不再是外在因素，而是企業內化的重要核心一員。

2020年，行政院資通安全處依舊敞開大門，與大家溝通與互動，同時也將持續執行與推動資安產業提升為永續的任務與使命。

這是一場很愉快的對談，處長清楚且聚焦告訴我們，為何需求資安，也點出目前大家困惑之處，也提醒我們先立穩自身，從關鍵核心處思考，同時從根基處深耕，逐步產生新生機。

資安簡宏偉資安法資通安全法