源頭管理 工程會2招強化資安防護

工程會主委吳澤成認爲，想要維護採購契約的資安、減少履約爭議必須從「源頭管理」下手。圖／王德爲

現代資訊科技及資安攻擊方式日益更新且快速變化，工程會主委吳澤成認爲，想要維護採購契約的資安、減少履約爭議必須從「源頭管理」下手，去年到今年陸續推出「資訊服務採購需求確認之對策與作法」以及「資訊服務採購作業指引」，相信能帶動相關產業的發展。

針對政府採購契約的資安議題，吳澤成表示可以分爲兩塊探討。一是與資安主管機關數位部及產業界合作，於9月頒訂「資訊服務採購作業指引」，工程會將資訊服務採購契約範本納入資安規範，訂定「各類資訊（服務）採購共通性資通安全基本要求參考一覽表」，針對系統的防護需求等級，提供普、中、高的資安基本要求，讓機關採購人員易於擇定資安需求，從源頭把關，在資訊系統開發階段即搭配資安法規定，將資安要求納入採購，避免機關遺漏，以落實資安防護。

另一塊則是聚焦資安爭議的處理。吳澤成說，過去接獲各界反映資安採購存在爭議，於是思考要如何避免和協助，後來發現問題出在中間沒有經過確認。

吳澤成說，資訊採購產生爭議，與需求者和資訊設計領域不同有關，需求者講需求，資訊服務者則是基於資訊專業去做軟體設計，最後常常發現不符合彼此需要，可是軟體設計費也已經花了，再改必然會增加相關費用，於是產生爭議，接着開始去怪機關提供需求不正確，機關也會說是資訊端不正確。

爲了避免上述情況，吳澤成認爲要分多層次、多階段確認工作，先把資訊服務者告訴對方，看需求跟呈現出來的對不對，不對就趕快修正，不要完成纔來看。分階段再三確認，才能讓差距愈來愈小，最後就能符合需要。

萬一真的發生爭議，吳澤成說，現在已由政府機關成立諮詢委員會，接受廠商跟機關請求，針對問題趕快做諮詢，在還沒有到爭議處理階段（指法定程序）前，也就是假性爭議出現時（僅看法不同）就去溝通，且是由工程會幫你溝通，希望達成共識，減少爭議。