行政院研考會主委江宜樺表示,政府未來將以每年1%的比例,逐年增加政府資通安全經費占資訊經費比例,並積極推動政府A、B級單位取得資安認證。國民黨立委賴士葆已於本會期提案通過,未來政府資安經費將以占整體資訊經費10%為目標。

行政院資通安全會報通報應變組主任吳啟文表示,資訊安全一直是研考會和行政院資通安全會報努力的政策方向,目前資安預算占總資訊經費每年不到7%的比例,的確偏少。「但隨著政府對資安的重視,資安經費逐年政策性提升1%,希望能提升到10%,是資通安全會報的目標。」他說。

賴士葆則指出,行政院資通安全會報及研考會在推動政府機關資訊安全工作的過程中,經費不足一直是各機關單位推動過程的阻礙。
他說,從政府機關資源配置來看,資安經費占資訊支出比重不到7%,相較美國的10%而言,明顯少了許多。賴士葆指出,許多政府資安作為或結果,都會與民眾權益息息相關,因此,他在立法院第7屆第2會期中已經提案,未來3年內,行政院各機關預算之資訊安全經費占資訊支出比重,應逐年增加1%。

吳啟文指出,行政院資通安全會報原本就規定政府A、B級單位要取得資通安全認證。他說,目前總共有61個A級單位、294個B級單位,A級單位取得資安認證比例大約8成,B級單位則更少。吳啟文表示, A、B級單位在2009年至少要達到一半以上,都已經取得資安認證的政策目標。

根據2008年10月的統計,應該在2007年底通過ISO 27001資安認證的A級單位,只通過了8成(50個),而應該在2008年底全數通過的B級單位,更只通過不到2成(39個)。賴士葆認為,最大的問題在於推動認證的範圍,目前只要政府機關內部有任一單位通過資安認證,就算是「獲得認證通過」,也讓某些機關單位挑資訊室或機關網站作為資安認證的範圍,也造成資安認證政策推動上的漏洞。

吳啟文指出,政府同步制定許多參考指引,未來除了推動政府A、B級單位,取得資安認證,也將平行推動重要的參考指引,透過訓練合格的稽核人員,對政府機關做第三方驗證。

賴士葆則以為,行政院資通安全會報當務之急就是要先確認資安認證的範圍,避免讓取得資安認證淪為一種形式。再者,他也說,要提高機關取得認證的成效,最有效的方法除了要求A、B級單位,都必須在2009年底,全數通過資安認證外,將資安認證推動成效與各機關年度工作績效做連結,並提高機關高階主管對資安認知與對資安推動人員的支持,才是真正有效推動政府機關的資安政策與措施。文⊙黃彥棻

熱門新聞

Advertisement