【盤點《資安法》修法草案重點3】公務機關遇重大資安事件，資安署有權調度各機關資安人員支援

想要落實資安，大家都很清楚如果沒錢、沒人，將是萬萬不能。數位發展部這次推出的《資安法》修法草案中，從組織面提升公務機關資安治理的層級之餘，也要求依照各個公務機關的資通安全責任等級要求，設置專職的資安人員。

在目前的政府機關中，只有警察、人事、政風、主計等單位，是屬於從上到下的「一條鞭」管理單位，從中央部會到地方政府機關的事權統一，基本上，中央的主管機關有統一的統籌訓練和主管考核機制，當然也有跨機關、跨單位進行人事調度的權利。

只不過，公務機關資安專職人員的員額，最多就是A級機關的編制四人，而不屬於具有一條鞭管理機制的單位，當然主管機關也沒有這種直接跨機關調度人事的權利。

但是，為了使公務機關一旦發生重大資安事件，更有效率、更即時的解決，此次修正草案第十八條特別賦予資安署有直接調度各機關資安人員支援的權利，讓公務機關的資安人員具有「類一條鞭」的性質。

新增資安類一條鞭制度，資安署有權調度人員協處重大資安事件

為了提高公務機關對於重大資安事件的應變協處能力，這次資安法修法更直接增訂第十八條第二項，規定資安人員具有類一條鞭性質，明定公務機關一旦遭遇重大資安事件時，「資安署得逕予調度各級機關資通安全人員支援。」

但這種「類」一條鞭的方式，也引發質疑。例如，有些公共政策網路參與平臺「眾開講」的網友表示，資安署若要調動其他機關編制內的資安人員時，應該要先獲得機關同意才是，如果資安署被賦予「逕予」調度的權利，可能會有超額授權的爭議。

另有網友認為，這裡的「調度」應屬於行政程序法第十九條的「請求行政協助」，調動機關內的人力支援協處重大資安事件，其中的「人力安排」看來比較類似：因為事件發生在你家附近、請求你就近協助幫忙，就像暫時的「車輛的調度」，而非永久「商調」，因此，並沒有牽涉組織員額編制的調動。

也有其他網友跳出來質疑這麼做可能產生的問題，他們表示，現在有越來越多機關內的資訊員額，其實都被移撥給業務單位，當資訊人員越來越少人，甚至沒有獲得足夠員額的保障時，又如何做好資安呢？

有一位網友指出，當公務機關面對重大資安事件發生時，各機關的資安人員都可被資安署統一徵調的規定，從公務人員的管考上，並不利於資安人員在機關內的考核，顯然《資安法》的規定沒有考量資安人員的職涯發展，並未從他們的角度出發。

機關內資安人員的業務超出負荷，若因支援而影響考績該怎麼辦？

面對有些機關在沒人沒錢的情況下，本身業務其實都已超過負荷，相關的資安人力卻還要受到資安署調度，去支援其他機關的困境，有人建議，直接由資安署的專業人員去支援更為合適。而這樣的專業人員，應該是指先前的行政院國家資通安全會報技術服務中心（簡稱技服中心），現為數位發展部管轄的行政法人：資通安全研究院。

有人提醒這種資安類一條鞭的調度方式實際執行時，還會衍生其他問題，畢竟資安專責人員在政府歸類為資訊職系，並不是真正的一條鞭，考核權還是在各機關主管手上。

這位網友表示，資安署一旦進行徵調時，除了會影響該機關原本已多如牛毛的業務執行，可能因被徵調人員在機關的貢獻度相對較低而影響考績，此外，升遷管道也可能受阻。於是，便有網友直接建議，應刪除此一不合理的規定。

在「眾開講」平臺上面，更有網友直言：目前政府內各機關的資安人力多數員額尚未補足，資安人力都是現有機關編制內人員，但身為三級機關的資安署，卻要調動無隸屬關係的其他二級或其他機關，這有行政擴權之虞。

以務實的角度來看，他認為草案中的「資安專職人力」應改為「資安專責人力」，因為很多機關只有一個資訊人員，光是要處理單位內資訊雜務已自顧不暇，根本不可能真正做到全職資安。

也有現職公務機關資訊人員到「眾開講」平臺表達意見指出，許多機關的資訊人員往往是辦理資訊又兼辦資安，資訊加給的部分也不見改善。該名網友認為，資訊人員兼辦資安都做一樣的事情，因為「沒有專責資訊單位，就沒有提供資訊加給」，機關內的事情卻又不能不做，所以，這樣的狀態並不合理。

透過修正母法推動資安一條鞭，機會難得

有人認為需要再調整，但也有人支持，他們肯定推行資安人員一條鞭制，實屬立意良善，可整合各公務機關與特定非公務機關分散的資源，解決資訊採購重複及疊床架屋問題；也可以協助預算不足或組織較小的機關，解決資安產品或服務採購等問題，像是某些預算不足的機關，無法部署架構完整的資安防護方案，有些會則因為本身缺乏資安採購規畫的評估人力，導致履約能力不足的廠商得標。

對此，「眾開講」平臺有網友建議，草案增訂條文能提供資安署「逕予」調度權限，難免影響原機關日常業務運作，加上各機關資安人員也須辦理日常業務，因此他建議第十八條第二項條文應修正成：「……遇有重大資通安全事件，資安署得商請各級機關同意及徵詢受調人員之意願，調度其資通安全人員支援。」賦予受調度機關作業的彈性。

另外，因為接受調度的受調人員，在原機關編制的員額之下，是用其人事預算，如果接受調度機關也能因此獲得獎勵，例如年度機關績效指標等，便能夠提高機關借調資安人員支援的意願。

該網友建議，第十八條第三項條文調整成：「……『受調機關與人員』的獎勵及職能訓練相關事項辦法，由主管機關定之。」

事實上，2022年成立的資安署約聘人員人力，迄今還沒有補滿，其中一個重要原因就是，公務人員薪俸和資安業界有明顯落差，因此，應提高給薪彈性。

該網友建議，數位發展部應該要規畫縮編約聘人員，例如約聘職遇缺不補，但把這個缺額改為補上受銓敘人員，並與考試院研商資安特種考試，像是設資安官，測驗上機實作與口試等，並擬訂資訊處理轉任資安職系的辦法，同時參考業界薪資訂定資安職系的專業加給，或者增設職務加給（可依經驗、證照或測驗成績，核定起敘的俸級）與彈性薪級（可參考法官24級或教師36級，非齊頭6本1），藉此維持文官制度的公平與透明。該網友也說，另外也可以參《法官法》的規定，可以依照其執業經驗採差別敘薪。

此外，數位部管轄的資安院雖然以更彈性的方式，招聘資安業界的頂尖資安人力，然而，該組織本身所擁有的人力，目前仍然不足以支援各機關面臨的各種資安事件處理，以及需要的資安諮詢服務。

網友認為，施行「資安一條鞭制」是正確方向，數位發展部應該把握難得修母法的機會，制定依據讓考試院能夠有所遵循。不然的話，在政府機關內部任職、實務經驗豐富的優秀資安人才，很容易受到業界高薪動搖；而接受目前待遇招募進來的人員，也可能因實務經驗不足，進而影響資訊服務委外專案的採購與管理品質。

所以，資安一條鞭制應該由數位部統一編列資安官人事預算，再由資安署定期辦理集訓，依機關的資安責任等級、組織層級、設施重要性排序，派駐至各機關，以獨立處室辦理法遵諮詢、日常技術檢測、事件支援、聯合監控等業務（類似主計或政風）並定期輪調，而非讓各機關自行擴編人力又各自為政。至於各機關資安專責人，可作為「資訊人員」與「資安處室」的溝通橋樑。

但網友認為，最終的關鍵還是在於現行文官制度沒有資安職系，就算有，職等敘薪也跟業界不同，也難怪政府機關一直找不到夠好、夠強大的資安人力。網友也說，從《資安法》實施迄今，即使有法條要求公務機關應補足資安人力，但在薪資服務的誘因不足下，公務機關資安人力仍然相當缺乏。

政府強化資安人員職能，每三年考一次的作法不恰當

因為資通安全人員的專業知識技能，也與公務機關資通安全防護能量有密切關係，為了強化並提升公務機關資安專職人員的職能，也於修正草案中第十八條第二項明定，「資安署應妥善規畫推動專職人員的職能訓練，增進其資通安全專業知識技能。」

網友在眾開講平臺提到政府資安專職職能訓練，每3年要再考試一次，但每三年必須再考試一次的作法，不符目前許多國際證照維持證照有效性的作法。

因此，這位人士建議，資安署應該參考國際資安證照的作法，在資安人員於取得相關資安證照後，透過持續訓練或工作的方式，藉此維持相關證照的有效性，而非要求資安人員要一直考試。

在此同時，當所有人都要求資安人員要具備足夠專業，那麼，高層主管們如果能帶頭示範，取得能力證明，相信大家都會心服口服，因此，有人也對此提出質疑，認為資安署內長官們也應該要具有相關的政府資安職能證照。

對於資安署的職責，有人建議負責執行國家資安政策的這個單位，不應該只負責管考，看稽核結果和改善報告而已，重點是，對於公務機關及特定非公務機關，究竟該提供什麼樣的協助？他指出，資安署應該從國家資安總體的考量，協助相關單位做好資安，而不是單純考慮管考、寫報告。

《資安法》修正草案重點之三的條文內容
【第十八條】
公務機關應符合其資通安全責任等級之要求，設置專職資通安全人員，辦理資通安全業務及應變處理；資通安全業務績效評核優良者，應予獎勵。
資安署應妥善規劃推動專職人員之職能訓練，增進其資通安全專業知能；遇有重大資通安全事件，資安署得逕予調度各級機關資通安全人員支援之。
前二項人員調度支援、績效評核、獎勵及職能訓練相關事項之辦法，由主管機關定之。

 相關報導