我國於111年成立數位發展部暨資通安全署(簡稱數位部、資安署),至此國家資安發展邁入新的里程碑。惟部、署約聘僱人員事項受到部分質疑,認有違反國家文官體制之嫌;然此實為面對數位新世代資安重大挑戰最為妥適之舉措。本文試就現行挑戰、採取約聘僱並輔以汰除機制之優點、資安人員之精進措施及未來發展資安人員國家考試等角度進行論述與倡議。
現行制度考選及任用資安人員的挑戰
資安人員進行國家考試的挑戰,首先是制度上缺少資安人員考試規範。目前我國公務人員職系制度中,僅有「資訊處理職系」與資安相關。然資安人員之職能要求與資訊處理人員具相當差異,倘欲透過資訊處理職系、類科考試進行拔才,顯有相當的難度。
第二層面,資安人員必須時時面對各種駭侵攻擊,需要有即時應處的能力;因而選才也需評鑑出受測人員實作能力,必須採取上機考試的實作測驗。我國國家考試目前仍多以筆試作為主要測驗方式,且國家考試電腦化轉型尚未完成,施行資安人員上機考試有現實的困難。
第三層面係緩不濟急,政府機關的資安專責人員,以及數位部、資安署成立時所需求的人力,政府當下有大量資訊與資安人員需求。但公務人員考試每年定期舉辦,面對持續不斷發生、不斷變動新增的資安威脅,定期考試難以隨時補充人力因應資安威脅與挑戰。
最後是任用的挑戰,資安人員往往因職等受限,連帶致使待遇偏低,影響人員進用與留任意願,又常為了升遷等因素離開相關職系;另方面,現行公務人員受身分保障難以汰除不適任人員,使職能落後於資安威脅;兩者對國家資安防護能量與資安人員生態有不良影響,為實現「以國家考試進用資安人員」此目標過程中,必須加以解決的難題。
強化約聘僱資安人力管理機制
一、以約聘僱解決現階段制度困境,健全資安人才生態系
採用約聘僱方式,可解決現行無資安人員考試規範問題,能第一時間進用政府資安人員而無需等待立法過程。其次,約聘僱的遴選過程可引入實測制度,有效鑑別參與遴選者之能力與經驗。第三,約聘僱方式能適時、彈性補充資安人員人力缺口,更有助於政府機關即時應對日益新增的資安威脅。
就進用上,約聘僱方式可適當提高人員待遇,提升資安人員投入政府資安工作之意願。另因約聘僱人員於公務體系中不發生升遷,可使其專注在資安領域持續精進職能。縱因追求更高待遇而離開政府部門,亦不會浪費培育資安人員的投資,且有助於政府與民間部門資安人員流動,形成生態的良善循環與經驗共享,使公私部門資安防護工作攜手並進,提升國家整體資安防護能量,健全資安人才生態系。
二、透過精進及汰除制度,對應資安風險的不斷變動
資安人員採約聘僱制,將能更有效地應對日益變化之資安威脅。數位新世代下各種資安威脅、風險呈現不斷變動、進化的狀態,資安人員須不斷的精進技能,方足面對各式資安威脅、風險。
目前採取約聘僱制度進用之資安人員,不具有公務人員之身分保障,只要落實相關考核制度,即可將不適任人員汰除,有效促使資安人員自我精進,維持政府面對資安挑戰之能量。
三、透過資安證照制度,公私協力精進考核
約聘僱資安人員之考核,將可不限於傳統公務人員考核,而擴張以公私協力方式進行。目前資安署認可之資安證照,共有11家發證機構所頒發的數十張證照,可將人員取得證照之種類、數目及所表彰之職能納入續聘考評,除工作表現的傳統考績制度外,亦可有效考核約聘僱人員之能力。
同時,前揭專業證照之發照單位,除經濟部等政府單位外,同時也有許多民間企業或機構;民間所頒發證照,可在考核過程中引入民間力量,透過公私協力達成良善監督,避免國民產生約聘僱人員考核放水之疑慮。
發展資安人員國家考試之方向
就長遠觀察,政府資安人員之進用方式,除約聘僱方式外,亦應併採國家考試的途徑,但絕非倉促、勉強地純粹為了以國家考試方式進用,而使用目前不適合資安防護工作特質的國考制度。
一、資安職系(組)之設計
欲以國家考試方式進用資安人員,首要即在於資安人員職系之設計。現行銓敘職系中無資安職系(組),倘以資訊人員充任資安專責工作,將造成在考試科目或工作內容上與資安工作有所差異;且資訊處理人員專業加給偏低影響投入資安工作意願,唯有創設資安職系,方可招考專業人員並提升待遇,以增加專業人才投入意願。
另外,獨立職系可比照主計、政風、警政及人事人員,透過訂定人員設置條例採一條鞭制度,使全國政府資安防護工作統一,進行各單位工作間的整體規劃、協作,進而全面性提升政府資安防護效能。最後,資安工作相當多元,以美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)所公布的人才培育框架(National Initiative for Cybersecurity Education, NICE)為例,其即具有52種工作角色,諸如系統安全分析師、網路防禦分析師、網路防禦鑑識分析師等,更有近千餘不同的工作知識、技術、能力。因此資安人員需要建立整體職組,再依據不同工作角色建立不同職系,以針對不同需求分配職缺,完善政府部門資安防護工作。
二、考試制度之設計
就考試制度層面,首在於考試方式之改革,應大規模採用電腦實作測驗制度,方足以真正的甄選出有能力處理資安事件人才,以利於國家資安防護工作之推動與落實。其次是關於考試科目面向,由於資安工作的多元性,必須良善設計考試科目,以配合多種資安人員的需求。
再者,資安人員考試應採取公私協力方式進行,於國家考試中引入相關民間證照,讓公私合力完成國家資安人員選才。可參酌目前公職專技人員考試制度,需先有相關執照、證照甚或工作經驗後,方能參與政府資安人員考試,即可透過民間力量先行篩選,使公私協力共同為國舉才。
最後,比照公職專技人員中的轉任制度,建立資安人員轉任制度。亦即比照社工師等制度,依據專門職業及技術人員轉任公務人員條例規定,由用人機關進行甄審或公開甄試合格後轉任。此可更大限度的擴大公私協力,活絡資安人才市場、健全資安人才生態系,整體提升公私部門之資安防護能量。
三、持續精進之設計
應建立相關考核制度,確保資安人員職能的持續精進。透過引入民間證照制度作為政府資安人員之考核;建立完善的資安課程等級,合理評估資安人員的資安職能教育。取代現行僅12小時的職能教育、一張證書、一張證照的低度要求,透過證照的質與量評估資安人員是否有應處駭侵事件之能力,真正評估資安人員是否持續精進,才足以建立起有效的國家資安防禦能量。
四、汰除制度之設計
最後,關於不適任人員的汰除。由於資安風險的不斷變化與進展,對於不具備適格職能之人員,應要能將之調離資安工作,以確保在職位上的資安人員都是適合的。倘若能在創設資安職組的同時,規劃出汰除不適任人員之機制,亦可以作為國家在公務人員新陳代謝上一個良好的試驗場域。
結語
在數位新世代下,國家面臨的資安風險挑戰日益變動,為求資安防護工作之完備,盡速且妥適的補充政府資安人力是必要的工作。而資安人員的進用方式,在現行急迫的挑戰下,採取約聘僱制度輔以汰除機制,可以說是最為便捷且妥善的方式。未來併採國家考試來選任資安人才補充政府資安人力,可以作為一個長遠的目標,畢竟國家考試代表了公開、公平的取才制度;但倘若僅為考試而考試,忽略國家面臨的挑戰,無疑將捨本逐末造成政府資安人力不能因應各項資安風險,使國家資安防護產生漏洞而造成國家安全疑慮。
現行透過約聘僱方式進用資安人員,是面臨當前困境並因應國家資安防護需求下,最為妥適且可行的方式。在解決目前考試制度對資安人力補充的挑戰同時,只要輔以相當的汰除制度,既可避免萬年約聘僱人員,亦可補充適當、合格的政府資安人力。
倘若可完善相關配套措施,如本文建議的「資安職系(組)、公私協力的實戰考試、精進制度、汰除制度」四大重要項目,同時以資安人員此種過去缺少、新類型的公務人力作為基石,通盤考量建立的考選、銓敘、用人制度,亦可以作為政府其他專業人力選才制度設計之範例,甚至作為整體國家考試進化的良好契機,以改善國民過往對公務人員的不良印象,發展數位新世代的國家公務人力。