想要落实资安,大家都很清楚如果没钱、没人,将是万万不能。数位发展部这次推出的《资安法》修法草案中,从组织面提升公务机关资安治理的层级之余,也要求依照各个公务机关的资通安全责任等级要求,设置专职的资安人员。
在目前的政府机关中,只有警察、人事、政风、主计等单位,是属于从上到下的「一条鞭」管理单位,从中央部会到地方政府机关的事权统一,基本上,中央的主管机关有统一的统筹训练和主管考核机制,当然也有跨机关、跨单位进行人事调度的权利。
只不过,公务机关资安专职人员的员额,最多就是A级机关的编制四人,而不属于具有一条鞭管理机制的单位,当然主管机关也没有这种直接跨机关调度人事的权利。
但是,为了使公务机关一旦发生重大资安事件,更有效率、更即时的解决,此次修正草案第十八条特别赋予资安署有直接调度各机关资安人员支援的权利,让公务机关的资安人员具有「类一条鞭」的性质。
新增资安类一条鞭制度,资安署有权调度人员协处重大资安事件
为了提高公务机关对于重大资安事件的应变协处能力,这次资安法修法更直接增订第十八条第二项,规定资安人员具有类一条鞭性质,明定公务机关一旦遭遇重大资安事件时,「资安署得迳予调度各级机关资通安全人员支援。」
但这种「类」一条鞭的方式,也引发质疑。例如,有些公共政策网路参与平台「众开讲」的网友表示,资安署若要调动其他机关编制内的资安人员时,应该要先获得机关同意才是,如果资安署被赋予「迳予」调度的权利,可能会有超额授权的争议。
另有网友认为,这里的「调度」应属于行政程序法第十九条的「请求行政协助」,调动机关内的人力支援协处重大资安事件,其中的「人力安排」看来比较类似:因为事件发生在你家附近、请求你就近协助帮忙,就像暂时的「车辆的调度」,而非永久「商调」,因此,并没有牵涉组织员额编制的调动。
也有其他网友跳出来质疑这么做可能产生的问题,他们表示,现在有越来越多机关内的资讯员额,其实都被移拨给业务单位,当资讯人员越来越少人,甚至没有获得足够员额的保障时,又如何做好资安呢?
有一位网友指出,当公务机关面对重大资安事件发生时,各机关的资安人员都可被资安署统一徵调的规定,从公务人员的管考上,并不利于资安人员在机关内的考核,显然《资安法》的规定没有考量资安人员的职涯发展,并未从他们的角度出发。
机关内资安人员的业务超出负荷,若因支援而影响考绩该怎么办?
面对有些机关在没人没钱的情况下,本身业务其实都已超过负荷,相关的资安人力却还要受到资安署调度,去支援其他机关的困境,有人建议,直接由资安署的专业人员去支援更为合适。而这样的专业人员,应该是指先前的行政院国家资通安全会报技术服务中心(简称技服中心),现为数位发展部管辖的行政法人:资通安全研究院。
有人提醒这种资安类一条鞭的调度方式实际执行时,还会衍生其他问题,毕竟资安专责人员在政府归类为资讯职系,并不是真正的一条鞭,考核权还是在各机关主管手上。
这位网友表示,资安署一旦进行徵调时,除了会影响该机关原本已多如牛毛的业务执行,可能因被徵调人员在机关的贡献度相对较低而影响考绩,此外,升迁管道也可能受阻。于是,便有网友直接建议,应删除此一不合理的规定。
在「众开讲」平台上面,更有网友直言:目前政府内各机关的资安人力多数员额尚未补足,资安人力都是现有机关编制内人员,但身为三级机关的资安署,却要调动无隶属关系的其他二级或其他机关,这有行政扩权之虞。
以务实的角度来看,他认为草案中的「资安专职人力」应改为「资安专责人力」,因为很多机关只有一个资讯人员,光是要处理单位内资讯杂务已自顾不暇,根本不可能真正做到全职资安。
也有现职公务机关资讯人员到「众开讲」平台表达意见指出,许多机关的资讯人员往往是办理资讯又兼办资安,资讯加给的部分也不见改善。该名网友认为,资讯人员兼办资安都做一样的事情,因为「没有专责资讯单位,就没有提供资讯加给」,机关内的事情却又不能不做,所以,这样的状态并不合理。
透过修正母法推动资安一条鞭,机会难得
有人认为需要再调整,但也有人支持,他们肯定推行资安人员一条鞭制,实属立意良善,可整合各公务机关与特定非公务机关分散的资源,解决资讯采购重复及叠床架屋问题;也可以协助预算不足或组织较小的机关,解决资安产品或服务采购等问题,像是某些预算不足的机关,无法部署架构完整的资安防护方案,有些会则因为本身缺乏资安采购规画的评估人力,导致履约能力不足的厂商得标。
对此,「众开讲」平台有网友建议,草案增订条文能提供资安署「迳予」调度权限,难免影响原机关日常业务运作,加上各机关资安人员也须办理日常业务,因此他建议第十八条第二项条文应修正成:「……遇有重大资通安全事件,资安署得商请各级机关同意及征询受调人员之意愿,调度其资通安全人员支援。」赋予受调度机关作业的弹性。
另外,因为接受调度的受调人员,在原机关编制的员额之下,是用其人事预算,如果接受调度机关也能因此获得奖励,例如年度机关绩效指标等,便能够提高机关借调资安人员支援的意愿。
该网友建议,第十八条第三项条文调整成:「……『受调机关与人员』的奖励及职能训练相关事项办法,由主管机关定之。」
事实上,2022年成立的资安署约聘人员人力,迄今还没有补满,其中一个重要原因就是,公务人员薪俸和资安业界有明显落差,因此,应提高给薪弹性。
该网友建议,数位发展部应该要规画缩编约聘人员,例如约聘职遇缺不补,但把这个缺额改为补上受铨叙人员,并与考试院研商资安特种考试,像是设资安官,测验上机实作与口试等,并拟订资讯处理转任资安职系的办法,同时参考业界薪资订定资安职系的专业加给,或者增设职务加给(可依经验、证照或测验成绩,核定起叙的俸级)与弹性薪级(可参考法官24级或教师36级,非齐头6本1),借此维持文官制度的公平与透明。该网友也说,另外也可以参《法官法》的规定,可以依照其执业经验采差别叙薪。
此外,数位部管辖的资安院虽然以更弹性的方式,招聘资安业界的顶尖资安人力,然而,该组织本身所拥有的人力,目前仍然不足以支援各机关面临的各种资安事件处理,以及需要的资安咨询服务。
网友认为,施行「资安一条鞭制」是正确方向,数位发展部应该把握难得修母法的机会,制定依据让考试院能够有所遵循。不然的话,在政府机关内部任职、实务经验丰富的优秀资安人才,很容易受到业界高薪动摇;而接受目前待遇招募进来的人员,也可能因实务经验不足,进而影响资讯服务委外专案的采购与管理品质。
所以,资安一条鞭制应该由数位部统一编列资安官人事预算,再由资安署定期办理集训,依机关的资安责任等级、组织层级、设施重要性排序,派驻至各机关,以独立处室办理法遵咨询、日常技术检测、事件支援、联合监控等业务(类似主计或政风)并定期轮调,而非让各机关自行扩编人力又各自为政。至于各机关资安专责人,可作为「资讯人员」与「资安处室」的沟通桥梁。
但网友认为,最终的关键还是在于现行文官制度没有资安职系,就算有,职等叙薪也跟业界不同,也难怪政府机关一直找不到够好、够强大的资安人力。网友也说,从《资安法》实施迄今,即使有法条要求公务机关应补足资安人力,但在薪资服务的诱因不足下,公务机关资安人力仍然相当缺乏。
政府强化资安人员职能,每三年考一次的作法不恰当
因为资通安全人员的专业知识技能,也与公务机关资通安全防护能量有密切关系,为了强化并提升公务机关资安专职人员的职能,也于修正草案中第十八条第二项明定,「资安署应妥善规画推动专职人员的职能训练,增进其资通安全专业知识技能。」
网友在众开讲平台提到政府资安专职职能训练,每3年要再考试一次,但每三年必须再考试一次的作法,不符目前许多国际证照维持证照有效性的作法。
因此,这位人士建议,资安署应该参考国际资安证照的作法,在资安人员于取得相关资安证照后,透过持续训练或工作的方式,借此维持相关证照的有效性,而非要求资安人员要一直考试。
在此同时,当所有人都要求资安人员要具备足够专业,那么,高层主管们如果能带头示范,取得能力证明,相信大家都会心服口服,因此,有人也对此提出质疑,认为资安署内长官们也应该要具有相关的政府资安职能证照。
对于资安署的职责,有人建议负责执行国家资安政策的这个单位,不应该只负责管考,看稽核结果和改善报告而已,重点是,对于公务机关及特定非公务机关,究竟该提供什么样的协助?他指出,资安署应该从国家资安总体的考量,协助相关单位做好资安,而不是单纯考虑管考、写报告。
《资安法》修正草案重点之三的条文内容
【第十八条】
公务机关应符合其资通安全责任等级之要求,设置专职资通安全人员,办理资通安全业务及应变处理;资通安全业务绩效评核优良者,应予奖励。
资安署应妥善规划推动专职人员之职能训练,增进其资通安全专业知能;遇有重大资通安全事件,资安署得迳予调度各级机关资通安全人员支援之。
前二项人员调度支援、绩效评核、奖励及职能训练相关事项之办法,由主管机关定之。