跳到主要內容區塊
:::

司法院主管109年度單位預算評估報告

Facebook twitter Plurk print
九、司法院所屬資通安全專責人員暫以委外人力規劃配置,惟恐將面臨資訊業務主控性逐漸喪失及資安管理風險,實有必要研議資安人力及經費向上集中與整合運用之可行性 日期:108年9月 報告名稱:司法院主管109年度單位預算評估報告 目錄大綱:九、司法院所屬資通安全專責人員暫以委外人力規劃配置,惟恐將面臨資訊業務主控性逐漸喪失及資安管理風險,實有必要研議資安人力及經費向上集中與整合運用之可行性 資料類別:預算案評估 作者:鍾俊華

109年度司法院所屬機關預算案於「一般行政」業務計畫項下之「辦理司法行政業務」科目編列資訊服務費1億7,598萬5千元,較108年度之1億3,383萬5千元,大幅增加4,215萬元(增幅31.49%),主要係因應資通安全管理法及其授權訂定之資通安全責任等級分級辦法,司法院所屬各機關擬新聘資安專責人員及辦理網站安全弱點檢測、系統滲透測試經費等業務所需;惟目前司法院所屬機關資安專責人員係採「委外人員暫代」方式進行規劃,除需花費高額委外費用外,亦面臨資訊業務主控性逐漸喪失及資安管理風險,為充分運用經濟規模達成經費減省效益,司法院所屬機關之資安人力及經費允應儘量向上集中統整,說明如下:

(一)除福建高等法院金門分院外,司法院所屬機關資通安全責任等級均核定為C級公務機關,依規定需新增配置一名資安專責人員

依據資通安全責任等級分級辦法第2條、第3條第5項規定:「公務機關及特定非公務機關(以下簡稱各機關)之資通安全責任等級,由高至低,分為A級、B級、C級、D級及E級。」、「總統府、國家安全會議、立法院、司法院、考試院及監察院應每二年核定自身、所屬或監督之公務機關及所管之特定非公務機關之資通安全責任等級,送主管機關備查。」另依資通安全責任等級分級辦法附表五「資通安全責任等級C級之公務機關應辦事項」:初次受核定或等級變更後之一年內,配置一人資通安全專責人員,須以專職人員配置之。

經查司法院核定為資通安全責任等級A級機關,所屬機關除福建高等法院金門分院核定為資通安全責任等級D級機關外,其餘36個所屬機關均核定為C級機關;依上開規定C級公務機關應配置全職資通安全專責人員1名,惟囿於現行正職資訊人力不足,且依行政院資通安全處函釋,機關如暫無可支配之正職或缺額人力,得以委外人員暫代,其暫代期限,自資通安全管理法施行日起2年,爰本案暫以委外人力規劃配置,並於109年度新增編列資通安全經費3,639萬元,包括:36個所屬機關增聘1名資通安全專責人員3,226萬元及所屬各機關辦理網站安全弱點檢測等經費413萬元。

(二)所屬機關資通安全專責人員係暫以委外人力配置規劃,惟在核心業務、技術傳承、機敏性上仍存風險,有待掌握及解決

依本院審查107年度中央政府總預算案所做成通案決議:「(四十二)…。檢視我國中央行政機關資訊業務委外辦理近年之發展情形,其居高不下之委外經費比率,恐將面臨潛在之資安風險。我國中央政府行政機關受限於資訊人力、經費資源,近年來推動資訊業務委外政策,其整體委外經費比率居高不下,又因欠缺妥適規範,加以資訊人力吃緊,爰面臨資訊業務主控性逐漸喪失及資安管理風險,…。」各機關應積極檢討現行資訊業務委外維護之政策,並賡續研議採行委辦業務改自行辦理,或減少共通性系統重複建置等措施,以撙節委外經費支出,並有效降低資安管理風險。考量資通安全專責人員主要係負責安全性檢測、資通安全健診、資通安全威脅偵測管理機制等高技術門檻工作,多屬資通安全業務較為核心職能或較具機敏性之作業項目(詳附表1),如均委由民間辦理,除需花費高額委外費用外,其後亦將帶來業務不連貫與經驗無法傳承等風險,允宜依本院決議持續研析採業務收回自辦之可行性,以有效節約委外經費支出,並降低資安管理風險。

(三)司法院及所屬機關之資安人力及經費應儘量向上集中統整,俾運用經濟規模達成經費減省效益

依資通安全責任等級分級辦法附表之規定,責任等級越高所需投注成本將越高,其中A級機關要求配置4位專職或專責資安人員,B級機關要求配置2位,C級機關要求配置1位,公務機關更要求必須全以專職人員配置。上述專責人力及經費之擴充,對於各機關之預算資源配置、人力資源分配勢必帶來不小衝擊與挑戰。由於司法院及所屬機關業務性質互有差異,其對於資訊人力及經費(預算)需求亦有所不同,例如臺北地院108年度資訊服務費編列預算532萬4千元,為同期間連江地院5萬5千元之96.8倍(詳附表2),不同性質機關自應有不同之考量;惟109年度司法院所屬機關資安專責人力及經費之配置,並未參酌各機關資安防護需求、機關特性、業務量及預算資源與資訊人力配置情形等因素作不同考量,即一律按相同標準分(零)散設置,除未盡公平合理外,亦與上開決議意旨略有不符。

為使資訊服務及預算結構更契合各法院資訊預算需求及實際運用現況,允可參照行政院推動資訊資源(含人力)向上集中之政策(略)規劃,以司法院(資訊處)為中心進行資訊基礎設施與資訊系統之整併,並研議司法院所屬機關之資安人力與經費向上集中與整合運用之可行性,以落實資訊資源整合共享,減少所屬機關重複投資,俾充分運用經濟規模達成經費減省效益。

綜上,近年來國內資安事件頻仍,已造成政府聲譽及企業財產損失甚鉅,政府資安防護能力亟待提升;惟目前司法院所屬機關資安專責人員擬採「委外人員暫代」方式進行規劃,除需耗費高額委外費用外,亦將面臨資訊業務主控性逐漸喪失及資安管理風險;鑑於資通安全管理法及其授權訂定之資通安全責任等級分級辦法中有關資安專責人員之設置,為政府重視資通安全重要改造措施,司法院當可利用本次資安人力向上集中之契機,妥適調整配置相關人力及經費,以支應資通安全業務推展所需。

附表1:司法院及所屬機關規劃設置資安專責人員職務內容一覽表

面向

工作事項

(一)策略面:

1.機關資安政策、資源分配及整體防護策略之規劃。

2.機關導入資安治理成熟度之協調與推動。

3.資通安全維護計畫並實施情形之績效評估與檢討。

(二)管理面:

1.訂定、修正及實施資通安全維護計畫並提出實施情形。

2.訂定及落實資通安全事件通報及應變機制。

3.辦理機關資通安全責任等級相對應之應辦事項:資訊安全管理系統之導入及通過公正第三方之驗證、業務持續運作演練、辦理資通安全教育訓練等。

(三)技術面:

1.分析、整合與分享資通安全情資。

2.配合主管機關規劃辦理機關資通安全演練作業。

3.辦理機關資通安全責任等級相對應之應辦事項:安全性檢測、資通安全健診、資通安全威脅偵測管理機制、政府組態基準、資通安全防護等。

※註:1.資料來源,整理自司法院提供之資料。

附表2:107-109年度司法院及所屬資訊服務費預算編列與執行概況表

單位:新台幣千元;%

年度

法院名稱

106年度決算數

107年度決算數

108年度預算數

109年度預算案數

108與109年度增減比較

金額

%

司法院主管

129,324

124,518

133,835

175,985

42,150

31.49%

司法院

69,431

63,504

73,872

75,081

1,209

1.64%

最高法院

675

936

1,227

2,400

1,173

95.60%

最高行政法院

766

742

680

1,870

1,190

175.00%

臺北高等行政法院

780

780

865

1,939

1,074

124.16%

臺中高等行政法院

1,051

643

702

1,720

1,018

145.01%

高雄高等行政法院

717

733

743

1,961

1,218

163.93%

公務員懲戒委員會

165

227

285

1,303

1,018

357.19%

法官學院

1,532

1,539

1,585

3,246

1,661

104.79%

智慧財產法院

634

518

618

1,836

1,218

197.09%

臺灣高等法院

2,829

2,843

4,677

4,145

-532

-11.37%

臺灣高等法院臺中分院

1,290

1,896

1,550

2,768

1,218

78.58%

臺灣高等法院臺南分院

1,030

1,045

983

2,201

1,218

123.91%

臺灣高等法院高雄分院

1,742

1,635

1,147

2,365

1,218

106.19%

臺灣高等法院花蓮分院

721

811

758

1,818

1,060

139.84%

臺灣臺北地方法院

5,132

5,413

5,324

6,542

1,218

22.88%

臺灣士林地方法院

2,678

2,453

2,526

3,744

1,218

48.22%

臺灣新北地方法院

3,510

3,649

3,571

4,789

1,218

34.11%

臺灣桃園地方法院

6,016

6,837

3,961

5,179

1,218

30.75%

臺灣新竹地方法院

2,285

2,370

2,749

3,967

1,218

44.31%

臺灣苗栗地方法院

1,087

730

1,023

2,044

1,021

99.80%

臺灣臺中地方法院

3,484

3,458

3,708

4,926

1,218

32.85%

臺灣南投地方法院

870

1,128

1,026

2,244

1,218

118.71%

臺灣彰化地方法院

1,998

2,214

2,129

3,347

1,218

57.21%

臺灣雲林地方法院

1,416

1,577

1,440

2,658

1,218

84.58%

臺灣嘉義地方法院

1,427

1,427

1,505

2,480

975

64.78%

臺灣臺南地方法院

3,244

2,721

2,456

3,674

1,218

49.59%

臺灣橋頭地方法院

1,103

1,409

1,391

2,409

1,018

73.18%

臺灣高雄地方法院

2,548

2,043

2,375

3,593

1,218

51.28%

臺灣屏東地方法院

998

1,141

1,355

2,573

1,218

89.89%

臺灣臺東地方法院

1,184

1,339

1,349

2,567

1,218

90.29%

臺灣花蓮地方法院

2,157

1,661

1,300

2,650

1,350

103.85%

臺灣宜蘭地方法院

679

744

838

2,056

1,218

145.35%

臺灣基隆地方法院

1,259

1,034

1,140

2,158

1,018

89.30%

臺灣澎湖地方法院

596

746

523

1,691

1,168

223.33%

臺灣高雄少年及家事法院

680

976

770

1,866

1,096

142.34%

福建高等法院金門分院

446

491

550

785

235

42.73%

福建金門地方法院

1,141

941

1,079

2,297

1,218

112.88%

福建連江地方法院

23

164

55

1,093

1,038

1887.27%

※註:1.資料來源,司法院提供。


下載

九、司法院所屬資通安全專責人員暫以委外人力規劃配置,惟恐將面臨資訊業務主控性逐漸喪失及資安管理風險,實有必要研議資安人力及經費向上集中與整合運用之可行性-附件1(doc) (odt) (pdf)
2019-09-01
九、司法院所屬資通安全專責人員暫以委外人力規劃配置,惟恐將面臨資訊業務主控性逐漸喪失及資安管理風險,實有必要研議資安人力及經費向上集中與整合運用之可行性-附件2(pdf)
2019-09-01