我国台湾地区台北市这几年通过“通信安全会报”大力推动信息安全工作,各下属机关纷纷将资源投资在信息安全防护上。但是几年下来,很多单位在预算有限的情况下,往往投资了信息安全,就没办法做其他信息系统,让不少政务单位陷入“巧妇难为无米之炊”的境地。
台北市信息中心主任张俊鸿对此表示,除了系统开发、维护、信息安全防护等工作,信息中心要做的工作还相当多,受限于资源,信息外包是政务单位必然的选择。
在判断信息系统该不该外包时,张俊鸿认为,可以从3个角度去衡量,包括重要程度、成本与经济规模,以及是否为核心能力。毋庸置疑,重要系统肯定自己维护。以政务机关来说,像行政、民政、工商税务处等与个人隐私息息相关的系统,安全性要高,保密性更高,这些比较难外包。
信息外包是必然选择
至于成本与经济规模,一个系统如果能够让尽可能多的单位使用,经济规模就最大,所花经费除以单位数后就知道划不划算,台北市有数百个政务单位,每个单位的单位成本都必须受到控制。
台北市信息中心有信息工作人员30~40名,服务对象却包括400多个各级机关单位和学校。其中,行政体系有3~4万人,学校规模更为庞大,除教职员还有约7~8万名学生,信息人员与服务人数比例明显悬殊,与信息化先进标准2.5%~5%的比例相比少一半以上。张俊鸿表示,政务信息单位普遍缺乏人力与预算,外包成为必然的考量。
尤其是政务单位的信息预算普遍太低,只占整体预算的1.3%,网络、系统、硬件、耗材、信息安全等林林总总加起来,要做的事情很多,每个人每年平均只分到20000元新台币(折合5000元人民币),每个月不到2000元新台币,人力、物力不足是政务信息外包的主因。
举例来说,美国政府前4年大幅度增加IT外包预算。2002年,他们的IT外包费用为66亿美元,到2007年预计150亿美元,以年均18%的增长率剧增。布什政府2004财年的IT预算为593亿美元,这意味着需要雇用和培训IT人员来管理5000个数百万美元的技术项目。
2003财年(从2002年10月开始),美国政府的IT预算是526亿美元,用来支持核心业务。2004财年政府的IT预算是593亿美元。与此同时,美国各方面积极为电子政务外包服务提供相应的法规环境,并表示将营造对外包服务商更为有利的环境。
在台北,目前所有的公共信息网、电子公务系统等通用信息系统一定外包,以创造经济效益最大化,但是多个系统跨平台连结的问题也跟着浮现,终于在2005年委托厂商开发单一进入系统,采取账号密码与身份认证卡并行制作为人员账号与权限管理。
张俊鸿表示,每台PC都配备卡片阅读机,采用身份认证卡固然方便,因为每次进入系统都要插入卡片,操作上太麻烦,所以就规定员工早上来先以身份认证卡录入,上班时间就以账号密码登入,但下班时间过后账号密码权限自动消失,必须重新以身份认证卡进入,员工还可以自己上系统检查每天登录的次数与纪录。
外包势在必行
核心能力方面,则要看单位规模,以及具不具备培养人才的能力,如果员工离职,是不是有办法递补?自己做是不是能比厂商做得更好?像是信息安全的部分,张俊鸿便认为外包比较有效益。
他表示,信息安全工作固然重要,但技术变化快速且门槛高,显然信息安全不是政务机关的核心能力。由专业厂商来做会比自己做得好,各单位自己做也不具经济规模,委托外面的专业团队来做是很自然的选择。
“除非由上级出面,成立一个专门服务所有政务机关的信息安全团队,以集中控制、集中训练、集中研发的方式,开始培养专门的组织团队,当这个团队可以做得比外面厂商好时,信息安全才有可能变成政务单位的核心能力。当服务范围扩及所有政务机关,经济规模达到一定程度时,单位成本就自然降低。”他说。然而,目前政务部门还没有办法做到这样的程度。
目前台北市政务信息安全的相关工作中,几千台、几万台个人计算机的终端管理就是一笔不小的支出,像是PC的防毒、防黑客、防木马、防垃圾邮件,再加上账号密码与存取权限的管理、系统的单一嵌入等,要做的事情相当多,都不是几万、几十万元可以做到的,预算有下限,很难真正做到滴水不漏。现在已经将部分客户端的防毒、防黑客业务外包,正在逐步加强服务器端的安全性,让终端设备的信息安全投入成本降低。
据了解,在美国,越来越多的机构和部门也将其非核心业务以服务合同的方式外包出去,以寻求优质的专业服务提高工作效率。美国人将这种外包服务称为“可管理的服务”,委托方通过单一的合同方可以获得多种IT服务。这种服务可以将委托方从信息系统的运行与维护中解放出来,使它们能够集中精力完成自己的核心业务。
建设一个大规模的软、硬件结合的系统,购买支持设备来运行这个系统,不仅需要花费大量的一次性投资,同时需要建立一支费用昂贵的专业队伍,还需要每年投入大量的运行费用。而外包服务不仅可以节约大量的初始投资,而且像使用水、电、煤气、道路交通等公用设施一样方便,委托方购买的是一种服务。显然,从经济、效能的角度考虑,IT服务外包将是大势所趋。
不断监控滴水不漏
对于政务信息安全工作的范围界定,张俊鸿有不同的看法,像政务网站的安全防护,因为是民众最常接触的一块,又等于是门面,一旦被黑客入侵或被恶作剧更改,很容易被视为信息安全防护不周。
政务单位最常见的就是网站被黑,政务网站被张俊鸿视为是民众的公布栏兼留言板,要让民众自由出入及公开发言。
“但现在大家都过度夸大了网站被黑事件。只为了守护网站门面而大大增加信息安全支出成本,究竟有没有矫枉过正?网站安全重要还是信息重要?都是很值得大家深思的问题。”他说。因此,台北市将网站的安全控制中心(SOC)全权外包,希望通过专业厂商进行7×24小时的安全监控与实时响应。张俊鸿表示,与系统安全整体投资相比,网站的信息安全花费算是少的。
他指出,一旦网站门面被擅自更改,快速恢复与实时应变都远比重重安全防护重要,交由专业团队处理就能达到实时发现、实时响应。网站就是要让民众网站进出,重要系统都在内部,受到防火墙与VPN的基本保护。
不过,他也强调,以SOC的服务来看,厂商必须建立具有经济规模的服务团队,具有服务一定数量厂商的能力,通过经济规模降低每一个用户所需支付的费用,才能让SOC更加平易近人,不然一般企业或政务机关仍然无法负担。
外包SLA评估
扣点扣钱作为把关
另外,既然要外包,如何评估厂商服务品质(SLA),台北市有行之有效的一套做法:先是将外包分为专业型与服务型,通过不同的差错扣钱制度来监督外包厂商,一旦外包厂商出现服务瑕疵就扣点、扣钱。续约评估则是透过每年固定的使用者满意度调查及监督委员会评分,两者相加如果超过80分就可以续约。
他认为SLA是一种警示作用,目的在协助厂商提升自己服务的能力,并不是真的要把厂商的钱扣光。因为张俊鸿相信“一件事情要做超过21次,才会变成本能”的理论,不管是信息人员、外包厂商,如果没有机会作业超过21次,如何要求他们完全不犯错?
政务安全认证
亟需分层落实
张俊鸿认为,信息安全是一个政策,但什么是信息安全的范围?这牵涉到所谓A、B、C、D分级的定义,这样的安全分级,究竟是该级机关的系统安全层级,还是网站安全层级?被分成不同层级的机关,到底该做哪些信息安全工作?目前还没有被明确定义出来,确实也很难定义。
现行的一些标准很容易被当成遵循法则,像是前几年政府机关一窝蜂导入BS7799安全认证,企业导入CMMI、ITIL和COBiT,张俊鸿并不认同,“并不是说标准错了,也不是不需要标准,只是大部分的标准都太过理想化,没资源的单位没钱做,有钱的做了也是浪费钱。”他认为,专家学者制定标准太高,台湾最好可以仿造国际标准的模式,建立一套自己的标准,相关厂商遵循的门槛跟成本也比较低。太复杂的工作项目多不适用于一般单位,企业应该建立“分层落实”的观念,先将标准里每个工作项的层次理清,分阶段从企业内的基础工作做起,不需要借由认证,几年内就可以达到那些标准。
他认为,导入任何标准之前,企业可以先自我检视,这样是否能够做到更快、更好、更便宜?如果不行,就采取小范围的示范式投资,可以减少无谓的投资与浪费。