源頭管理 工程會2招強化資安防護

工程會主委吳澤成認爲,想要維護採購契約的資安、減少履約爭議必須從「源頭管理」下手。圖/王德爲

現代資訊科技及資安攻擊方式日益更新且快速變化,工程會主委吳澤成認爲,想要維護採購契約的資安、減少履約爭議必須從「源頭管理」下手,去年到今年陸續推出「資訊服務採購需求確認之對策與作法」以及「資訊服務採購作業指引」,相信能帶動相關產業的發展。

針對政府採購契約的資安議題,吳澤成表示可以分爲兩塊探討。一是與資安主管機關數位部及產業界合作,於9月頒訂「資訊服務採購作業指引」,工程會將資訊服務採購契約範本納入資安規範,訂定「各類資訊(服務)採購共通性資通安全基本要求參考一覽表」,針對系統的防護需求等級,提供普、中、高的資安基本要求,讓機關採購人員易於擇定資安需求,從源頭把關,在資訊系統開發階段即搭配資安法規定,將資安要求納入採購,避免機關遺漏,以落實資安防護。

另一塊則是聚焦資安爭議的處理。吳澤成說,過去接獲各界反映資安採購存在爭議,於是思考要如何避免和協助,後來發現問題出在中間沒有經過確認。

吳澤成說,資訊採購產生爭議,與需求者和資訊設計領域不同有關,需求者講需求,資訊服務者則是基於資訊專業去做軟體設計,最後常常發現不符合彼此需要,可是軟體設計費也已經花了,再改必然會增加相關費用,於是產生爭議,接着開始去怪機關提供需求不正確,機關也會說是資訊端不正確。

爲了避免上述情況,吳澤成認爲要分多層次、多階段確認工作,先把資訊服務者告訴對方,看需求跟呈現出來的對不對,不對就趕快修正,不要完成纔來看。分階段再三確認,才能讓差距愈來愈小,最後就能符合需要。

萬一真的發生爭議,吳澤成說,現在已由政府機關成立諮詢委員會,接受廠商跟機關請求,針對問題趕快做諮詢,在還沒有到爭議處理階段(指法定程序)前,也就是假性爭議出現時(僅看法不同)就去溝通,且是由工程會幫你溝通,希望達成共識,減少爭議。