國家級資安長揭露施政方針，持續強化整體資安與推動產業自主

總統蔡英文自從上任後，鑑於網路攻防的日益複雜，以及難以防範，加上深受中國網軍的頻繁攻擊，便揭櫫「資安即國安」的政策方針，不僅成立行政院資安處專責的資安防護機關，更積極推動「資通安全管理法」的立法，且該法已經於去年6月6日公布、今年1月1日正式實施，就是希望透過立法的手段，將政府部門、公法人，以及相關的關鍵基礎設施服務提供者，全都納入資安管理法的規範之中。

行政院身為最高的行政機關，包括相關的人、事、物等，自然也是中國駭客鎖定攻擊的目標。以往院內也曾多次發生下列事件：只要各個部會，有「報派」的新任正副首長消息在媒體揭露後，該部會就會收到該名報派長官秘書的來信，而附件夾檔往往都是一個惡意程式，在收件人不知不覺中，就被安裝在收件人的電腦，等待日後伺機而動，目的往往都是竊取政府相關的機敏資料等等。

因此，為了確保政府的資安，乃至全國的資安，相關的工作都必須持續推動，並且由專人來主持這些業務。而在「資通安全管理法」第11條便規定，公務機關皆應設置資通安全長，由機關首長指派副首長或適當人員兼任，而身為資通安全管理法正式實施後的第一位國家資安長，最重要的任務就是：協助各個部會、機關甚至是關鍵基礎設施提供者等，都能真正從制度、規範，以及相關的專案中，進一步落實資通安全管理法的管理規範與措施，並讓政府資源可以做最有效的運用。

政府重視資安，已推出第五期資通安全發展方案

基本上，臺灣政府重視資安，並不是這一、兩年才開始跟風的事情，早在2001年的時候，當時的行政院就已經定期、每4年提出一套國家資通安全發展方案，作為政府資安推動工作的上位政策。

迄今，最新的版本就是第五期的「106年至109年國家資通安全發展方案」，最終的目的就是希望以「打造安全可信賴的數位國家」為願景，「厚植自我防護能量、保衛數位國家安全」為目標，並從「完備資安基礎環境」、「建構國家資安聯防體系」、「推升資安產業自主能量」和「孕育優質資安人才」等四個策略面向，來推動國家資安防護工作。

其中，針對資安聯防，就是希望從縱深防禦、跨域聯防，以及防制新型態網路犯罪等層面，建構國家資安聯防體系；另外，藉由資安旗艦計畫，以及前瞻基礎建設計畫中，也規畫以六個直轄市為領頭羊的六都聯防，藉此逐步強化關鍵基礎設施業者，以及地方政府的資安防護能量。

另外，我們也必須積極提升臺灣資安產業的市場規模與產值，唯有資安產業成為一個有利可圖、有發展前景的產業時，相關的資安產業生態鏈，才可以創造經濟產值，之後，則要透過需求鏈結、產業升級、關鍵技術研發等面向，更進一步提升資安產業發展的能量。

政府資安人力需求一倍，民間需求十倍以上

今年資通安全管理法正式施行後，所有公務機關都面臨到一個共通的問題，那就是：資安人力明顯不足。

根據資通安全管理法的規定，所有的政府機關都有資安責任等級的區分，其中，如果是名列資安等級A、B和C級單位，在資安法實施後，就必須要分別配置4人、2人和1人的專職資安人力。但現在的問題是，資安法雖然明文規定要有專職的資安人員，但各個機關的大小規模不一，加上受限於總員額法，有許多機關目前並沒有多餘的人力可以補足資安人力缺口。

然而，因為資安很重要，行政院也已經請各機關首長盡可能在總員額的範圍中，優先補足資安人力。在初期的兩年過渡期中，各機關可以採用約聘僱或者是委外人力的配置方式，但在兩年後，仍必須補足正式公務人員的正職資安人力。

由於政府營運本身也像是一個大型企業，在資安方面，可以扮演領頭羊的角色。例如，政府需求是一倍的話，會帶動民間資安需求至少十倍以上，以政府資安人力需求一千多人為例，至少帶動民間資安人立需求一萬人起跳。金融業界因為有強烈的法規遵循要求，許多金融單位甚至直接從政府既有的高階資安人才挖角，這麼一來，也形成一種人才的正向流動。

事實上，目前政府專責的資安人力並不多，在資安法通過後，甚至還有五百多個資安人力缺口待補，然而，一個好的資安人力，就像是一個專案經理（PM），而一個好的專案經理，就像是一個好的將軍，針對配合的委外廠商，他可以指揮若定，達到相互幫襯的效果。

目前來看，資安人力的市場相當競爭，全球對資安人才都需求孔急，不只是國家、企業，連許多犯罪組織、駭客組織也都積極爭取資安人才，舉例來說，美國因為是資本市場，有許多退役的軍官退伍後，就直接高薪聘用到企業任職。

但對臺灣而言，如何提升資安產業、擴大資安市場？現今，行政院本身設立的技術服務中心，除了提供相關的資安訓練課程外，對於政府資安人力素質的確保，有專業證照和一定時數定期教育訓練的要求，同時，也會搭配相關的稽核，落實整個資安流程的PDCA循環。

現階段，政府也已經有資安服務團的成立，從策略、管理和技術等面向，以實地訪視及顧問的方式，到政府各個A級機關常駐兩個月的時間，協助機關建立相關的資安防護、管理機制、聯防機制，以及緊急通報應變程序與實作。

身為資通安全管理法正式實施後的第一位國家資安長，最重要的任務就是：協助各個部會、機關甚至是關鍵基礎設施提供者等，都能真正從制度、規範，以及相關的專案中，落實資通安全管理法的管理規範與措施，並讓政府資源可以做最有效的運用。　攝影／洪政偉

臺灣民主政府是信任基礎，協助政府與產業更密切交流

關於資安產業的自主，臺灣資安產品能否走向全球是關鍵。因為長年民主政治的推動，我國資安產品也獲得許多國家的信任，但要真正做到行銷國際，仍有一段努力的空間。

同時，資安產業是政府健全資安體系很重要的一個環節，資安法通過後，政府在思考的則是，如何帶動資安產業發展、落實資安人才培訓，並建構一個空間，讓公務部門和民間企業之間能有更多的合作與參與，也是政府當前在思考的方向。

未來，面對臺灣資安產業，政府該扮演何種角色？舉例來說，可擔任投資者、提供市場這種類似產業加速器的角色，協助資安產業快速發展，政府甚至可以讓加速器在獲利後，制定一套分潤機制，讓整個加速器有更正向循環，形成活潑的商業模式。這或許也是政府未來在協助臺灣資安產業發展時，另外一種可以思考的角度。

此外，臺灣整體產業這幾年來，積極在物聯網、金融科技及大數據的發展應用，而在這樣的前景之下，資安都是不可或缺的重要環節。以政府而言，目前正在打造去識別化的國家資安資訊分享與分析中心（N-ISAC），希望進一步做到不同產業的資安情資分享以及落實聯防機制外。

同時，目前的行政院技術服務中心，也扮演政府機關資安服務專案辦公室（SPMO）的角色，透過簡化資安服務採購程序，建立資安廠商能力評鑑機制，協助各機關導入適合的資安服務，以強化政府整理資安防護能量，則是SPMO主要努力達成的方向。

不管是社交工程演練、弱點掃描、資安健診等，其實，都是臺灣政府推動資訊安全的工作日常，然而，由於目前公務機關所採用的核心系統，絕大多數是使用國際大廠的產品或元件，接下來，該如何提升臺灣資安自主能力，確保系統防護不會受制於他國提供的技術，仍是政府未來不間斷的努力目標。口述⊙陳其邁、文⊙黃彥棻　本文出自《iThome 2019臺灣資安年鑑》