據聞,台灣遭受的網路攻擊,是居亞太之冠,為了資安問題,數發部成立,根據數發部的施政說明:本部主要負責推動我國數位政策的創新與變革,整合電信、資訊、資安、網路與傳播五大領域,整體規劃數位發展政策,統籌基礎建設、環境整備及資源運用業務,確保國家資通安全、促進跨域數位轉型、提升全民數位韌性。
洋洋灑灑講了一堆,目標是如此的遠大,但,實際執行呢?
近來,數發部將修正資通安全管理法,數發部很用心,召開了許多場說明會,現場意見雲集,除了一些技術細節(例如:要怎麼稽查、要怎麼提報告、哪些資安疑慮產品不能用…等),最主要的就是「人力問題」。
要做事,就要有人,這是天經地義的,要不然,為何成立「數發部」呢?
但據了解,現行的資通安全業務,卻想是希望機關(或單位)自行指派一個「專人」來擔任「資安專責」人員,講快一點就是任何人都可以擔任這個將可能要抵禦「亞太網路攻擊之冠」的守門員。
如此囫圇吞棗,不是現代版「天方夜譚」嗎?
現行並不是每一個機關都有資訊職系人員,也不是業務都很餘裕,餘裕到可以擠出一個「專責」辦理資訊業務的人員,沒有資訊單位的機關,資訊業務往往都是兼辦,既有業務還在時,生吃都不夠了、如何曬乾?更何況資訊的專業技術門檻如此高,怎可能所託非(專業)人?
「確保國家資通安全」的這個重責大任,絕不可隨意機給一個半路出家的人來主責呢?雖然資訊可能不等於資安,所以資訊職系人員也不會是資安當然專家,但,這總比本來拿筆的硬要叫他拿槍上戰場好吧,說真的,如果資訊職系的人,還不能把資安學好,那……還敢期望其他非資訊背景的人嗎。
或許,數發部也發現了這個超級急就章的目標不可行,故在本次資通安全管理法修正草案,有把資安「專責人員」改成「專職人員」,不過,這個並沒有根本解決機關內的資安業務無專業人員擔任的問題,不管是「專責」還是「專職」,這只是文字遊戲,現實就是不是每個機關內都有編制「資訊職系人員」,而且即使是用其他職系人員來擔任,第一:非本科系,需較多入門學習時間;第二:排擠原有職系人員任用;第三:也是最重要的,就是「沒有資訊執行的加給」,卻要人家做資訊職系的事情,同工不同酬。
強烈建議,若要真的做到「確保國家資通安全」,就是朝向每個被要求要符合資通安全管理法的機關,短期於「原預算員額之外」都至少要有一位全職的資訊職系人員,不管是約聘僱或勞務委外,但這非長久之計,資訊安全涉及機敏資訊,託付給非機關正式人員,恐更無法落實保密要求,甚至資安專責人員也應要有基本的身家背景調查,以加強管控風險;長期則需要正式編制的資訊職系(甚至是資安職系)人員,並建議納入本次資通安全管理法明文規定,以落實專責專任。
*作者為一個生活在台灣,看著這土地上所發生的各種事情,想說些什麼的人
