源头管理 工程会2招强化资安防护

工程会主委吴泽成认为，想要维护采购契约的资安、减少履约争议必须从「源头管理」下手。图／王德为

现代资讯科技及资安攻击方式日益更新且快速变化，工程会主委吴泽成认为，想要维护采购契约的资安、减少履约争议必须从「源头管理」下手，去年到今年陆续推出「资讯服务采购需求确认之对策与作法」以及「资讯服务采购作业指引」，相信能带动相关产业的发展。

针对政府采购契约的资安议题，吴泽成表示可以分为两块探讨。一是与资安主管机关数位部及产业界合作，于9月颁订「资讯服务采购作业指引」，工程会将资讯服务采购契约范本纳入资安规范，订定「各类资讯（服务）采购共通性资通安全基本要求参考一览表」，针对系统的防护需求等级，提供普、中、高的资安基本要求，让机关采购人员易于择定资安需求，从源头把关，在资讯系统开发阶段即搭配资安法规定，将资安要求纳入采购，避免机关遗漏，以落实资安防护。

另一块则是聚焦资安争议的处理。吴泽成说，过去接获各界反映资安采购存在争议，于是思考要如何避免和协助，后来发现问题出在中间没有经过确认。

吴泽成说，资讯采购产生争议，与需求者和资讯设计领域不同有关，需求者讲需求，资讯服务者则是基于资讯专业去做软体设计，最后常常发现不符合彼此需要，可是软体设计费也已经花了，再改必然会增加相关费用，于是产生争议，接着开始去怪机关提供需求不正确，机关也会说是资讯端不正确。

为了避免上述情况，吴泽成认为要分多层次、多阶段确认工作，先把资讯服务者告诉对方，看需求跟呈现出来的对不对，不对就赶快修正，不要完成才来看。分阶段再三确认，才能让差距愈来愈小，最后就能符合需要。

万一真的发生争议，吴泽成说，现在已由政府机关成立咨询委员会，接受厂商跟机关请求，针对问题赶快做咨询，在还没有到争议处理阶段（指法定程序）前，也就是假性争议出现时（仅看法不同）就去沟通，且是由工程会帮你沟通，希望达成共识，减少争议。