觀點投書：資安人員哪裡來？與其就地取材不如增加員額

據聞，台灣遭受的網路攻擊，是居亞太之冠，為了資安問題，數發部成立，根據數發部的施政說明：本部主要負責推動我國數位政策的創新與變革，整合電信、資訊、資安、網路與傳播五大領域，整體規劃數位發展政策，統籌基礎建設、環境整備及資源運用業務，確保國家資通安全、促進跨域數位轉型、提升全民數位韌性。

洋洋灑灑講了一堆，目標是如此的遠大，但，實際執行呢？

近來，數發部將修正資通安全管理法，數發部很用心，召開了許多場說明會，現場意見雲集，除了一些技術細節（例如：要怎麼稽查、要怎麼提報告、哪些資安疑慮產品不能用…等），最主要的就是「人力問題」。

要做事，就要有人，這是天經地義的，要不然，為何成立「數發部」呢？

但據了解，現行的資通安全業務，卻想是希望機關（或單位）自行指派一個「專人」來擔任「資安專責」人員，講快一點就是任何人都可以擔任這個將可能要抵禦「亞太網路攻擊之冠」的守門員。

如此囫圇吞棗，不是現代版「天方夜譚」嗎？

現行並不是每一個機關都有資訊職系人員，也不是業務都很餘裕，餘裕到可以擠出一個「專責」辦理資訊業務的人員，沒有資訊單位的機關，資訊業務往往都是兼辦，既有業務還在時，生吃都不夠了、如何曬乾？更何況資訊的專業技術門檻如此高，怎可能所託非（專業）人？

「確保國家資通安全」的這個重責大任，絕不可隨意機給一個半路出家的人來主責呢？雖然資訊可能不等於資安，所以資訊職系人員也不會是資安當然專家，但，這總比本來拿筆的硬要叫他拿槍上戰場好吧，說真的，如果資訊職系的人，還不能把資安學好，那……還敢期望其他非資訊背景的人嗎。

或許，數發部也發現了這個超級急就章的目標不可行，故在本次資通安全管理法修正草案，有把資安「專責人員」改成「專職人員」，不過，這個並沒有根本解決機關內的資安業務無專業人員擔任的問題，不管是「專責」還是「專職」，這只是文字遊戲，現實就是不是每個機關內都有編制「資訊職系人員」，而且即使是用其他職系人員來擔任，第一：非本科系，需較多入門學習時間；第二：排擠原有職系人員任用；第三：也是最重要的，就是「沒有資訊執行的加給」，卻要人家做資訊職系的事情，同工不同酬。

強烈建議，若要真的做到「確保國家資通安全」，就是朝向每個被要求要符合資通安全管理法的機關，短期於「原預算員額之外」都至少要有一位全職的資訊職系人員，不管是約聘僱或勞務委外，但這非長久之計，資訊安全涉及機敏資訊，託付給非機關正式人員，恐更無法落實保密要求，甚至資安專責人員也應要有基本的身家背景調查，以加強管控風險；長期則需要正式編制的資訊職系（甚至是資安職系）人員，並建議納入本次資通安全管理法明文規定，以落實專責專任。 （相關報導： 風評：從多國簽署「核電增2倍」宣言談起 ｜ 更多文章 ）

＊作者為一個生活在台灣，看著這土地上所發生的各種事情，想說些什麼的人