行政院副院長杜紫軍7日上午蒞臨2016年臺灣資訊安全大會致詞時表示,政府已經努力提升資安投資比例,希望藉由和民間合作,強化政府資安防禦能力。

圖片來源: 

iThome

行政院副院長兼國家資通安全會報召集人杜紫軍今(7)日上午蒞臨「2016年臺灣資訊安全大會」致詞時表示,政府過去一年來,透過組織調整和資源投入,在資安層面上已經有些許進展,除了新設立的法人機構:國家資通安全科技中心即將於四月一日正式掛牌運作外,為了補強過去資安資源不足的窘境,今年度,行政院所屬機關及地方政府預定投入強化資安的總經費高達8億元,期望能夠大幅改善過往資安資源不足的情況。

落實資安三級制,技服中心轉型法人機構

行政院在2001年成立行政院資通安全會報後,就開始著手各種資安基礎建設和資安推動方案,不過,杜紫軍坦言,雖然政府建立了基本資安防護機制,但這幾年的發展也發現仍有許多不足之處,像是政府對資安的警覺性還不夠,一些防禦措施過於流於形式,甚至於因為政府資源不足,在進用相關資安人才上也遭遇到困難,這些都是還未臻圓滿的地方。

不過,他指出,要落實資訊安全只單靠政府部門是不夠的,要來也要和民間一起攜手落實資安、不斷進步,才可能面對外界險惡的資安威脅。目前政府現有的資安相關組織架構已經落實三級制,讓臺灣資安政策的運作可以更緊密接軌。

去年,由現任行政院院長張善正擔任副院長時,曾經針對2013年~2016年的第四期資安發展方案,推出資安政策2.0的政策目標,希望藉由讓政府對資安攻防與作法,態度更公開透明;推動技服中心作為第二線資安監控中心;透過產學合作,由資安業者共同贊助軟體與平臺,培養臺灣真正可用的資安人才等三種方式,強化臺灣的資訊安全層級。

若要檢視階段性的成果,首先,杜紫軍表示,在政府組織與決策方面,由資安會報負責相關的資安政策規畫,科技部作為資安的主管機關,負責資安政策的計畫與督導,而由技術服務中心轉型、預計四月一日掛牌上路的國家資通安全科技中心,則負責資安政策的執行,他說:「透過三級制的架構配套,讓臺灣在資安政策、管理和技術等三個層次能量充沛,推動資安的方向越來越穩健。」

再者,政府要求政府部門要把釐清資安權責,並把資源配置在資安上,調整資安審議機制,規定各機關副首長兼任資安長協助改善資安時,相關的資安經費也會增加。

調整資安責任等級,擴編資安預算

杜紫軍指出,過往政府對於A級和B級機關都有一些強制的資安稽核作為,但在去年調整時發現,有一些機關的資安分類並不夠嚴謹,因此,在重新核定各機關的資安責任等級時,有一些不是A級和B級機關,因為資訊系統影響範圍大、牽涉的面向廣,,資安等級勢必有所調整。他表示,原本的A級和B級機關從363個,到後來則增加為695個。

也因為行政院在去年6月4日重新核定各機關資安責任等級,也明確要求各機關應該要依據核定的資安等級,積極落實資安應辦事項,「該是哪一​​個資安等級,就應該有怎麼的資安作為。」杜紫軍說。

他進一步表示,從2015年~2016年要求各機關依照需求及重要性編列資安預算,並籌措相關財源,其中,也有一大部分資安預算已經編列在2016年的預算中,根據統計,光是2015年~2016年各機關依照資安責任等級要求編列的應辦事項預算就已經超過8億元,加上其他的資安預算編列,將會更高。

若依照行政院資安會報的資料也顯示,資安預算在整體IT預算的比例也有逐年提升的現象,2013年資安預算佔整體IT預算4.38%,近期剛出爐的2014年資安預算佔整體IT預算比例更提升到5.56%,未來,2015年資安預算的佔比也會更高。

第三點,行政院要求重點機關要建置資安監控中心(SOC)進行動態監控,也要從2013年落實國家資安防護管理平臺二階聯防體系,杜紫軍表示,政府機關第一線的資安業務由資安廠商承接,而技服中心則負責第二線跨機關的資安聯防,並作橫向連結,依據嚴重程度做不同程度的處理,也透過大資料分析與相關的預測技術,進一步掌握攻擊全貌,也有助於提升資安決策的品質。

杜紫軍強調,有許多資安技術其實都在民間組織,只靠政府是無法落實資安的,一定要與民間合作並引進優質的資安服務。目前,行政院也透過定期召開資通安全技術交流小組,提供技術交流平臺,讓資安廠商可以展現實力和能量,也藉由共同供應契約以及資安服務廠商評鑑等機制,讓政府部門可以用合理的價格,聘請到好的資安廠商以取得優質的資安服務。他認為,在這樣的循環中,可以讓資安廠商持續發展業務,政府可以藉由廠商改善資安狀況,再度確認政府與資安廠商彼此是夥伴關係。

最後,杜紫軍指出,過去教育部著重在認知教育,把資安課程放在傳統資訊學門推動,但這樣是不夠的。因此,從去年開始,教育部便與經濟部及科技部合作,除了推動課程平臺外,也希望可以透過競賽、產學合作等方式,加強資安人才及菁英的培育。

杜紫軍認為,臺灣面臨的資安威脅,從早期駭客只是為了炫耀技術能力,演變到後來,具備有其他的政治和經濟目的的入侵,資安威脅變得越來越複雜。不過,隨著智慧連網、大資料、行動裝置以及雲端服務等新興科技的普及,網路與實體世界也將逐漸融合,政府更需要集結民間力量,一起捍衛臺灣的資安環境。

【相關報導請參考「2016 全臺最大規模資安盛會直擊」】


熱門新聞

Advertisement