1. 高中職的資安在幹嘛?
根據2018年資通安全管理法,公務機關(含公立學校)應設立資安長,推動資通業務。範圍包含資通系統(網頁資料庫連線維運管理)、資通服務(資訊蒐集流通刪除)。資安業務應擬資通計畫,並按計畫執行,遇資安事件應向上級機關通報。
2. 校內是誰承辦業務
資安長通常是校長(傳某些校長不願意),承辦業務是資訊媒體組(圖書館)、資訊組(教務處)、設備組(教務處)的組長居多,少數有技士、技佐、專任教師協行減授,以兼任形式辦理業務。
3. 近年來校內行政本身困境
根據組織法,主計、出納、文書、庶務,必須由校外專業人員承辦。其他行政職位可由教師兼任行政,事實上99%由教師兼任行政。依法規,教師兼行政要以教學為主,再完成行政業務。隨著教育業務的複雜性增加,數位學習+活動、疫情線上遠距混成、多元適性、自主學習、學習歷程、跨語言跨領域...等,行政各組的業務量較20年前客觀增加,微調減授時數,但學校找不到代理、代課教師處理課務,行政教師還是要上一樣多的課。人力編制需要修法,不願意執行,只能開後門。從計畫內聘助理協助業務,請更多老師來協助行政(協行)。加班加到身體壞掉多有所聞,改天有空獨立寫一篇。
4. 資安業務的特性-專業
資安在做些什麼?包含那些範圍?一般使用者該怎麼配合?多數教職員不清楚,客觀上與年齡成正比(無意圖批評,本人以前也是),遇到緊急事情時,丟給專業人員後就沒自己的事(我的電腦不能用!),即使熱心想幫忙也無從做起。校園有防災演練的業務,雖然也是表面功夫居多,但教職員對於防災的重要性,災難來臨的分工等等,有具體的認識,也可以盡一份力協助。按規定所有教職員每年應要3小時的教育訓練,以了解資安。不少抱著資安又沒我的事、反正聽了也不懂,不參加、或佛系參加,效果不如預期。超強的工程師,1天可以做他人10+天的工作,極有效率。資安也類似,但要反過來看,由無資訊背景的人來兼職做,10+天才才能做完1天的工作。正常工作請假會有代理人,代理職務,資安業務的專業性,使代理就算想幫忙也做不了。交接下任資安人員時,匆匆半天的時間只能概述後放生。
5. 資安業務的特性-無成果
資安業務沒有具體成果。沒有發生資安事件,即資安100分。隔壁同級單位完全不做資安業務,也有機會不發生資安事件,以公務機關本位,就很難說服上級下屬花預算、調配人力進行資安業務。
接連上述。政府人員對資安了解也不透徹,合作溝通上出現落差,任務文件疊床架屋浪費時間。受民眾期待的立法委員,對資安的重視不如其他議題,立法不夠細緻,人事組織、預算不足,也造成推動困難。
6. 教育部也知道推動資安不易,向上集中,即把學校的核心系統,維護管理權集中到上級機關,學校不再承擔資料遺失的責任與管理上的業務。聽起來很美好,但資安計畫的要求上,依然要高中職學校做到像大學般的資安業務細緻。就像小孩穿大衣,TW妄想ROC。比如廠商到機房,資安人員需陪同,比如資安事件來必須10分鐘內處理通報,比如某組業務出問題,廠商要連線到校內防火牆擋住要開通。可是組長在上課阿,對於及時要求,無法做到及時回應。人員進出做紀錄,設備進出做紀錄,每天巡視維護機房...專職人員才做得到。
資安就是國安,我們的路還很長。
沒有留言:
張貼留言