缺乏人力物力　衛生署資安以委外因應

手握醫藥、食品衛生等民生重大資料的行政院衛生署，是政府資通安全會報中A級的單位，資訊安全必須做到最嚴密的防護，然而考量到人力物力成本，該單位近期決定以委外的方式來管理。

近年來衛生署以建立衛生醫療資料共通平臺為目標，統合旗下掌管的電子病歷、醫事人員、藥物許可、食品衛生、衛生人口、緊急防疫等數十個重要系統。

包括全國長期照護資訊網、緊急醫療管理系統都在去年陸續上線，12月衛生署剛完成醫療憑證管理與病歷電子化的共享，並持續進行衛生局所網路便民服務計畫，提供網路申辦衛生保健的服務。所有措施最終目的就是要建立一個完整的全國醫療資訊網，也因此，衛生署理所當然的被歸到資通安全會報的A級，資訊中心也背負著重大的資安責任。

然而，如果不算編制在各縣市鄉鎮下的衛生所室資訊人員，總部衛生署整個資訊管理處不到30人，正職的資訊人員卻只有7～8人，另外幾乎都是約聘或是駐點人員，人力嚴重缺乏，資安技術的門檻又比較高，只好把重大系統的維護及資安管理委外。

負責與委外廠商接洽的資訊人員表示，不管考量人力還是物力，包括防毒、防駭、內部稽核管控等的基本工作，還是醫療網的安全監控都只能委交專業的廠商來做，每年的預算超過千萬以上，在公家機關裡，委外的規模與範圍都是數一數二的。

為了有效監控網路系統，衛生署採用宏碁eDC的安全監控中心服務，同時仰賴廠商派駐的駐點服務人員，以達到即時通報與回應的目的，一發現任何的異常，受過訓練的專業駐點人員，會根據經驗判斷事件的嚴重性，並即時反應給各個系統的負責人，每個事件都留有發生與後續處理記錄。除了在合作過程中建立與委外廠商的互信，所有委外細節都必須透過保密協定來約束委外廠商。

這幾年「國家資通安全會報」大力推動資安各級政府單位不得不將資安投資列為「重點項目」，也突顯出政府機關沒人、沒錢，資訊投資僧多粥少的窘境。

除了A級單位，仍有不少政府機關委外，其中包括行政院農委會、臺北市政府、考選部、國安局、期貨交易所、高雄市國稅局等等。文⊙高雅欣