政府單位內經常是頭痛醫頭的情況,像是因為個別使用者電腦中毒或使用異常導致流量攀升就制定一個內規讓單一節點每天超過500MB流量自動斷線、因為 google drive 有洩密疑慮就直接在防火牆封鎖或是某個資訊系統被駭客入侵直接斷線後沒人抗議就讓它長眠等等,許多為了避免究責的便宜行事累積起來已經影響了許多行政效率
雖然現在行政院資安處正在進行相關規範的建立,但對於基層公務人員來說大多是悲觀覺得更多的規範只會衍生更多的內規,讓他們更難做事
現有許多資安問題大多來自資訊單位對外包的資訊系統沒有足夠掌握度,但資訊單位人力經常被繁冗的行政工作纏住沒辦法發揮所長,加上現有資訊科技的想像大多被認為應該由資訊單位負責處理,公務體系的薪資福利也不太能夠吸引有概念的人大量投入其中,這樣的環境也導致了各種便宜行事的結果
而也因為決策者只聚焦在資訊安全而非整體環境,事實上各單位在資安相關預算都有重複且多餘的配置,像是買了三、四種性質接近的資安工具進行漏洞分析等,但最大的漏洞大概是那個負責的人沒有概念(嘆)
這個提問後面有好幾個預設… 我想還是要先看到《資訊安全管理法》草案,才能對它的實際作用(精簡內規,或是衍生更多限制)做出評論。
至於資訊系統的掌握度,我想先從自己的辦公室做起,以內網的自由軟體平台 Sandstorm 為核心,確定它可以節省事務人員的精力之後,再逐漸擴散。