◎ 王治成
貴報前天大幅報導,去年行政院資安處資安稽核發現,受稽單位成績普遍不佳,甚至還有兩個未達六十分之機關,尤其「技術檢測」十個重點機關,竟然有高達六個機關不及格,只能用慘不忍睹來形容。筆者所屬機關去年配合政院稽核,共同參與此項作業,發現至少有四個亟待改進之處。
第一,多數機關編列資訊預算,惟未針對「資訊安全」項目編列,致使預算多為購置軟硬體,與資訊安全無直接關係。
第二,公務機關首長與同仁對資安不甚了解,甚至不少人單純以為資安僅與個人公務電腦有關,只要不亂上網就不會有事,殊不知涵蓋層面既深且廣,舉凡資訊硬體、軟體、系統和人員,全都與之相關,對資安的不認識,致使整體工作推動不易。
第三,依規定資安等級B級以上機關,應編列一個以上專責人員,然而,受限於機關組織整體員額,要增列員額比登天還難,多數受稽機關雖列B級以上等級,無法編列專責人員,便移由其他業務人員兼辦,又考量符合法遵事項,就變成專責資安兼辦其他業務,看似符合規定,實際上只是玩玩文字遊戲。
第四,公務機關同仁未將資安當一回事,以為資安僅是資訊單位工作,其他業務單位縱有協辦資安人員,也只當作聯繫窗口,頂多轉轉公文、通知聯絡事宜,幾無任何實質作用。
筆者以為,推動資安防護至少應從兩個方向著手,其一,工欲善其事,必先利其器,編列足額預算,強化整體資安環境防護力,是最重要的基礎,筆者曾於預算審查會議時,遇見資安單位爭取預算以強化資安能力,但主計單位卻以做了無法發揮立即效果,並以非最必要開支為由,予以擱置或退回;其二,目前仍有不少公務機關未編列專責資安人員,有些甚至連資安負責單位都付之闕如,試問,如果連專責的資安承辦人都沒有,又如何重視資安防護工作?上述問題如果不解決,「資安即國安」不過就是呼口號罷了。
(作者是公務員)
編輯精選
自由評論網粉絲團