現今與資安有關的可不只是資訊部門管理的資訊系統而已，更大的安全風險是業務流程上的問題。

日前行政院做了一件罕見的事，政務委員張善政在一個公開演講場合，說明行政院今年度的資安稽核結果，首度指出「行政院陷入高度的資安風險」。
行政院在每年9月、10月都會針對重點機關實施資安稽核，但過去未曾對外公開談論稽核的結果。正所謂家醜不外揚，更何況是資訊安全這等內容敏感的問題。然而，資安專家時常引述孫子兵法「知己知彼，百戰不殆。」的心法，來說明資安意識的重要性；若對自己的情況不甚了解，是不可能在資安攻防戰獲勝，況且，在多數的攻擊事件中，發動攻勢的駭客早已占盡優勢，使得攻防局面一開始就處於不對等的狀態。倘若我們再不面對問題，甚至還隱匿問題，使得訊息不通透，那麼就只是讓駭客繼續得逞罷了。

張善政所指行政院處於高度的資安風險，是稽核結果顯示政府機關在資安管理與資安技術的失衡。有些機關雖已遵照規定落實資訊安全管理政策，但是資安技術能力卻明顯不足，一旦遇到緊急資安事件，可能就會難以應付；而有些機關的情況則是相反，資安技術能力較強，但未落實資安管理制度。

資訊安全專家時常以木桶理論與鍊條理論來解釋上述狀況。木桶理論是指，木桶的最大裝水量，取決於最短的一根木材。這是說以好幾根木板圍成木桶，若其中有一根木板比其他的短，那麼木桶裝滿水的高度就是這根短木板的長度，因為超過此水位就溢出來了。而鍊條理論則是說，鍊條的強度取決於最弱的一節，因為只要其中一節斷了，鍊條就沒作用了。

這兩個道理其實都是一樣的，說明了資安防護的各個環節必須有一致的水準，所以不論資安管理政策或資安技術何者為強，只要其中一個不符標準，就有致命的弱點。因而張善政才會說：「不均衡的發展讓行政院陷入高度的資安風險。」

針對今年行政院資安稽核的結果，行政院資訊處處長趙培因提出3個面向的6個共通問題，在政策面上，雖然一級機關普遍都取得國際資訊安全管理制度ISO 27001的認證，但實際的情況是認證範圍只及少數部門，而不是整個機關都通過資安認證。例如有的機關只是資訊部門通過資安管理制度認證，然而現今與資安有關的可不只是資訊部門管理的資訊系統而已，更大的安全風險是業務流程上的問題；此外，資安預算不足則是長久以來的問題。

管理面的共通問題，則是業務承辦人員對資安意識的不足，以及個資保護的宣導與訓練不足；技術面的問題則是對員工自帶設備的管制不確實，以及網路服務的安全控管措施。

其實大家對這些資安問題都不陌生，有些甚至是老生常談了，然而，解決問題最重要的就是先正視問題。敢於指出問題需要勇氣，決定公開政府的資安問題，更需要很大的魄力。對於行政院這次的作法，我們應該給予鼓掌。

友善連結 : http://www.ithome.com.tw/itadm/article.php?c=84005

<www.pronew.com.tw>