攝影/洪政偉
總統蔡英文自上任以來,揭櫫「資安即國安」的政策方針,讓許多政府資訊服務採購都開始重視資安,這樣的趨勢,也可以從有越來越多資訊服務採購契約中,都要求要有相關的資安配套措施可以發現。
因為,重視資安已經是無可避免的趨勢,中華資安國際總經理洪進福表示,對於他們這些資安業者而言,工程會透過《政府資訊服務採購作業指引》以及同步修正公布的《修正資訊服務採購契約範本強化資安防護》與資安一覽表等附件,就已經印證,將資安納入政府資訊服務採購合約中,已經是「現在進行式」。
洪進福認為,這次雖然是透過制定行政命令的方式做到「資安入規」,卻也是臺灣資安業者拓展市場和自我提升的難得機會;而相關資訊服務採購的「共通性資通安全基本要求參考一覽表」,更有助於政府機關的採購人員,可以更專業的勾選資訊系統對應的資安防護等級所必須的資安措施,這些作為更能夠大幅降低,政府採購人員資安專業不足的困擾。
實踐資安入規成為乙方業者提升能力的底氣
以往為了解決政府採購所衍生的爭端,資服產業界是透過修改《政府採購法》的方式,解決業者面臨的困擾。不過,洪進福坦言,每次修法都是曠日廢時,但如何解決政府資服採購「資安入規」的採購需求,卻已迫在眉睫。
如何解決這個迫在眉睫的需求,洪進福說,寄望於快速修法顯然不切實際,而此次由行政院工程會副主委葉哲良帶頭,協同數位部和許多資服資安業者以及各個公協會,透過制定《政府資訊服務採購作業指引》行政命令的方式,並同步修正公布的《修正資訊服務採購契約範本強化資安防護》與資安一覽表等附件,就提供一套讓甲方機關和乙方業者,在規畫各種政府資訊服務採購與資安入規時的共通參考依據。
洪進福認為,工程會透過制定行政命令的手法很漂亮,不僅降低修法時的衝撞,不管是作業指引或是契約範本,都可以有效引導機關的採購人員,快速制定符合機關需求的資安規範;同時,因應明白機關對於資安規範具體,這也成為乙方業者如何滿足甲方資安入規需求的參考指南,乙方提供甲方資安入規服務的同時,這也是乙方業者「身體力行」實踐資安規範的指引。
洪進福認為,當乙方業者也可以同步實踐落實在自家產品和營運時,資安入規的規範,也將成為臺灣資服資安業者自我能力提升的「底氣」,甚至也是掌握商機和拓展市場契機。
不過,他也說,透過指引和範本的強制力不夠,長期來看,規範還是要落實到法律層面上,才能具有強制力,未來還是有修訂《政府採購法》的需求。
資安一覽表制定完整資安標準成政府採購人員利器
雖然《資安法》要求, A級機關要有四名資安專責人員,B級機關要有一名資安專責人員,但洪進福表示,事實上,許多機關的資安專責人員都還未能補齊,資安人才缺口已經是臺灣資服產業界所面臨的普遍現象。
因為政府機關的採購人員缺乏資安專業,連帶的,面對許多政府採購的標案中,已經開始強化許多資訊系統必須有相對應資安防護措施的要求,這種將資安措施納入政府標案的「資安入規」,已經成為許多政府採購人員的痛點。
政府採購人員為了解決這樣的困擾,除了東找一點、西抄一點各種資安要求和規範外,許多機關有長期合作關係的資服業者,也成為許多採購人員的諮詢對象,這也讓某些過往不曾涉入資安領域的資服業者,啟動邁入資安領域的新契機。
但是,這種碎片式的資安規範,並不足以解決政府採購人員的困擾,洪進福表示,相關採購人員因為不具備資安專業,對於資訊服務採購應該納入何種資安規範、制定什麼樣的資安規格,應該編列多少資安預算,甚至最後應該如何完成資安籌獲等,都有其難度。
但是,透過新版的作業指引和同步修訂公布的契約範本中,有一份完整的「各類資訊服務採購之共通性資通安全基本要求參考一覽表」,針對雲端微服務(SaaS):套裝型、辦公室生產力工具及客製化需求更版;雲端平台(PaaS/IaaS);資服規畫標案;資安規畫標案;系統開發;既有功能擴充,以及系統維護營運等不同的資服樣態,都提供一套完整的資通安全標準。
.png)
政府會因應機敏機關、關鍵基礎設施和一般機關機敏程度不同,而對其資訊服務系統有高級、中級和普級等不同資安防護等級的要求,當然,普級系統所需要納入的資安措施一定和高級不同,洪進福說,這一套類似檢核表的「各類資訊服務採購之共通性資通安全基本要求參考一覽表」,將有助於政府採購人員,可以更便利、更有效率的完成資訊服務採購時對於「資安入規」的要求。
因為相關的資訊服務採購契約已經在履約中,面對一些不在原始合約上、因應法遵而必須新增加的資安要求,在機關沒有其他多餘的經費前提下,有更多時候,乙方業者為了維持和甲方機關長期以來的合作默契,為了可以有下一次合作的機會等因素,乙方業者甚至必須犧牲原有的獲利空間,自行吸收這些額外增加的支出。
但他發現,在新版作業指引的規定中,要求甲方機關除了要將資安預算單獨列出來外,更建議甲方機關應該預先編列預備費、物調費和檢測費用等,降低未來資訊服務標案履約時的各種突發狀況。
洪進福坦言,這些甲方事先編列的各項預備費用,都讓乙方業者在面對履約時可以更加從容不迫。也就是說,即使標案執行過程中,有各種因應新增的法遵要求,而必須另外增加的各種資安檢測,或者是因應資安人員薪資調整、甚至是資安軟體授權費用增加等必須支付的額外費用,都有一筆預備款,確保該資訊服務採購可以順利完成履約。
洪進福表示,資安以往都是一種隱性需求,但隨著各種資安威脅加劇,政府從採購面將資安規範正式納入採購契約中,都有助於提升臺灣機關資安防護能力,也有助於提升臺灣資服資安業者的產業競爭力。
熱門新聞
2024-05-14
2024-05-14
2024-05-16
2024-05-12
2024-05-13
2024-05-15