資安委交專業 北市府資訊服務不中斷

行政院這幾年透過「國家資通安全會報」大力推動資安工作，各機關紛紛將資源投資在資安防護上，但是幾年下來，很多單位在預算有限的情況下，往往投資了資安，就沒辦法做其他資訊系統，讓不少政府單位陷入「巧婦難為無米之炊」的兩難。臺北市政府資訊中心主任張俊鴻表示，系統開發、維護、資安防護等，資訊中心要做的工作相當多，受限於資源，資訊委外是政府單位必然的選擇。

在判斷資訊系統應不應該委外時，張俊鴻認為，可以從3個角度去檢視，包括重要程度、成本與經濟規模，以及是否為核心能力。無庸置疑，重要系統肯定自己維護，以政府機關來說，像地政、戶政、稅捐稽徵處等與民眾私密資料息息相關的系統，安全性要高，私密性必須更高，這些比較難委外。

受限人物力，資訊委外是政府單位必然選擇
至於成本與經濟規模，一個系統如果可以讓最多單位使用，經濟規模就最大，所花費經費除以單位數後，才知道划不划算，市政府有數百個單位，每個單位的單位成本都必須受到控制。以臺北市政府資訊中心來看，扣掉行政人員不算，資訊人員只有30～40名，但要服務的人包括400個各級機關單位、學校也有7～8萬人，學校教職員不算，整個行政體系也有3～4萬人，資訊人員與服務人數明顯懸殊，與國外2.5％～5％相比少一半以上。張俊鴻表示，政府資訊單位普遍缺乏人力與預算，委外成為必然的考量。

尤其是政府單位的資訊預算普遍太低，只占整體預算的1.3％，網路、系統、硬體、耗材、資安等零零總總加起來，要做的事情很多，每個人每年卻平均只分到20000元，每個月不到2000元，人力、物力都不足是政府資訊委外的主因。

舉例來說，目前市政府所有的共同資訊系統一定委外，以創造最大的經濟效益，像是公文知識網、電子公務系統等等，但是多個系統跨平臺連結的問題也跟著浮現，終於在今年委託廠商開發單一簽入系統，採取帳號密碼與自然人憑證並行制，做為人員帳號與權限管理。

張俊鴻表示，每臺PC都配備讀卡機，採用自然人憑證固然方便，因為每次登入系統都要插入卡片，操作上太麻煩，所以就規定市府員工早上來先以自然人憑證登入，上班時間就以帳號密碼登入，但下班時間過後帳號密碼權限自動消失，必須重新以自然人憑證登入，員工還可以自己上系統檢查每天登入的次數與紀錄。

資安非政府核心能力，委外勢在必行
核心能力方面，則要看單位規模，以及具不具備培養人才的能力，如果員工離職，是不是有辦法遞補？自己做是不是能夠比廠商做得更好？像是資安的部分，張俊鴻便認為委外比較有效益。

他表示，資安工作固然重要，但技術變化快速且門檻高，顯然資安不是政府機關的核心能力，由專業廠商來做會比自己做好，各單位自己做也不具經濟規模，委託外面的專業團隊來做是很自然的選擇。

「除非由中央政府出面，成立一個服務所有政府機關的專責資安團隊，以集中控管、集中訓練、集中研發的方式，開始培養專責的組織團隊，當這個團隊可以做的比外面廠商好時，資安才有可能變成政府單位的核心能力。當服務範圍擴及所有政府機關，經濟規模達到一定程度時，單位成本就自然降低。」他說。然而，目前政府部門則還沒有辦法做到這樣的程度。

檢視目前臺北市政府資安相關的工作當中，幾千臺、幾萬臺個人電腦的終端管理，就是一筆不小的支出，像是個人電腦的防毒、防駭、防木馬、防垃圾郵件，再加上帳號密碼與存取權限的管理、系統的單一嵌入等等，要做的事情相當多，都不是幾萬、幾十萬元可以做到，預算有限下，很難真正做到滴水不漏。現在已經將部分的個人端防毒、防駭委外，正在逐步加強伺服器端的安全性，讓終端設備的資安建置成本降低。

網站安全委交專業，7Ｘ24監控滴水不漏
不過，對於政府資安工作的範圍界定，張俊鴻有不同的看法，像政府網站的安全防護，因為是民眾最常接觸的一塊，又等於是政府的門面，一旦被駭客入侵或被惡作劇塗鴨，很容易被解讀為資安防護不周。

政府單位最常見的就是網站被駭，政府網站被張俊鴻視為是民眾的公布欄兼留言板，要讓民眾自由出入及公開發言。如果整個資訊架構是一間房子，將網站形容為家裡的一塊門窗，將資安防護無限上綱的結果，就像是為了防止外人打破門窗玻璃，只好把所有一般玻璃通通換成防彈玻璃，甚至為玻璃架上鐵窗、還派人24小時看守。
「但現在大家都過度放大網站被駭的事件，只為了守護網站門面而大大增加資安支出成本，究竟有沒有矯枉過正?網站安全重要還是資訊重要？都是很值得大家深思的問題。」他說。也因此臺北市政府將網站的安全控管中心（SOC）全權委外，希望透過專業廠商進行7Ｘ24小時的安全監控與即時回應，張俊鴻表示，與系統安全整體投資相比，網站上的資安花費算少的。

他指出，一旦網站門面被塗鴨，快速回復與即時應變，都遠比重重安全防護重要，交由專業資安委外，就能達到即時發現、即時回應。網站就是要讓民眾網站進出，重要系統都在內部，受到防火牆與VPN的基本保護。

不過，他也強調，以資安監控中心（SOC）服務來看，廠商也必須建立具有經濟規模的服務團隊，具有服務一定數量廠商的能力，透過經濟規模降低每一個用戶所需支付的費用，才能讓SOC更加平易近人，不然一般企業或政府機關也無法負擔。

委外SLA評估，扣點扣錢作為把關
另外，既然要委外，如何評估廠商服務品質（SLA），張俊鴻有他的一套，先是將委外分為專業型與服務型，透過不同的積數扣錢制度來監督委外廠商，一旦委外廠商出現服務瑕疵就扣點、扣錢。續約評估則是透過每年固定的使用者滿意度調查及監督委員會評分，兩者相加如果超過80分就可以續約。

他認為SLA是一種警示作用，目的在協助廠商提升自己服務的能力，並不是真的要把廠商的錢扣光光，所以很有人情味的將罰款「開更號」。因為他相信一個「一件事情要做超過21次，才會變成本能」的理論，不管是資訊人員、委外廠商，如果沒有機會作業超過21次，如何要求他們完全不犯錯？文⊙高雅欣

CIO觀點＞＞政府安全認證風潮，亟需分層落實
張俊鴻認為，資安是一個政策，但什麼是資安的範圍？這牽涉到所謂A、B、C、D分級的定義，這樣的安全分級，究竟是該級機關的系統安全層級？還是網站安全層級？被分成不同層級的機關，到底該做哪些資安工作？目前還沒有被明確定義出來，確實也很難定義。

現行的一些標準很容易被當成遵循法則，像是這幾年政府機關一窩瘋導入BS7799安全認證，企業導入CMMI、ITIL和COBiT，張俊鴻並不認同，「並不是說標準錯了，也不是不需要標準，只是大部分的標準都太過理想化，沒資源的單位沒錢做，有錢的作了也是浪費錢。」他認為，專家學者訂定標準太過於崇高，臺灣最好可以仿造國際標準的模式，建立一套自己的標準，國內的廠商遵循的門檻跟成本也比較低。

太複雜的工作項目多不適用於一般單位，企業應該建立「分層落實」的觀念，先將標準裡每個工作項的層次釐清，分階段從企業內的基礎工作做起，不需要藉由認證，幾年內就可以確實達到那些標準。

他認為，導入任何標準之前，企業可以先自我檢視，這樣是否能夠做到更快、更好、更便宜？如果不行，就從採取小範圍的示範式投資，就可以減少無謂的投資與浪費。文⊙高雅欣

CIO小檔案：張俊鴻
●學經歷：中原大學數學系、清華大學資管研究所、臺北市政府資訊中心主任，中原大學數學系教授
●簡介：臺北市政府是臺北市的行政機關，成立於1945年10月，1967年7月改制為直轄市，目前在正副市長之下設有民政、財政、教育、建設等14局，秘書、地政、新聞等7處，以及原住民等6委員會，還有公務人員訓練中心、自來水事業處、捷運工程局和12個區公所等直屬機關。
●營業項目：市民服務
●員工人數：行政人員含教職員70000多名。
●IT部門人數：30多名。