去(108)年6月發生含國安局等機敏機關在內之58萬餘筆公務人員個資遭人置於國外論壇販賣乙案,有威脅國家安全之虞,引起監察院仉桂美委員、劉德勳委員、包宗和委員重視並立案調查,監院也於109年1月16日教育及文化委員會通過調查報告,促請銓敘部其資通安全管理制度(Information Security Management System,下稱ISMS)加以檢討改善。
三位委員首先指出,根據相關資料研判,本案為101年6月時外洩,但迄至108年6月22日始被發覺,而外洩內容為該部94年1月1日至101年6月30日間中央及地方機關公務人員送審人員歷史資料,經比對後實際影響人數為24萬餘人,含行政機關、公營事業、衛生醫療機構及公立學校職員等,依據銓敘統計年報,101年底全國公務人員(註)共計34萬3,861人,換言之,本次計有全國70.77%之公務人員個資遭到外洩,等於每3人中至少有2人資料遭到外洩達7年之久;銓敘部雖稱遭外洩者均係文職人員,但所掌業務機敏與否,與文職或軍職身分並無關係,以法務部調查局及所屬調查站為例,自首長以降,約有2千餘人個資遭到洩漏,對國家安全之影響不可謂不大。但也由於資料外洩迄今已逾7年,案涉軟硬體均已報廢,行政院技術服務中心、法務部調查局及內政部警政署刑事警察局均表示以現有數位跡證,難以追查實際外洩過程及原因。
監察委員強調,本案雖然無法還原外洩過程,但仍應調查銓敘部ISMS是否完善。經查發現,銓敘部屬於資安責任等級A級機關,卻未能積極配合98年起推動之「政府機關(構)資訊安全責任等級分級作業施行計畫」,迄105年10月始將可存取全國公務人員銓審資料之「銓敘業務網路作業系統」及「公文管理及線上簽核系統」納入ISMS驗證範圍,使含機敏機關在內之全國公務人員個資長期暴露於高風險環境,爰本案58萬餘筆個資洩漏,該部難辭其咎,顯有違失。
再者,銓敘部於108年發現資料外洩以前,未能依照「資訊系統分級與資安防護基準作業規定」四大構面予以詳實評估,長期將上開兩大系統低估為安全等級中級,以致相關系統防護基準不足,益證該部長期漠視全國公務人員個資之洩漏風險,確有怠失;調查委員並進一步指出,案涉系統列為安全等級中級已屬低估,而行政院資安處於108年案發後協助稽核更發現,該部未能就其控制措施或ISMS四階文件內容妥予落實、驗證及追蹤改善情形,更肇致本案因缺乏資料庫稽核日誌,無從追查洩漏方式,顯示該部系統實際防護水準恐低於安全等級中級,實有改善必要。
三位監察委員進一步說明,銓敘部將ISMS輔導及驗證工作委由單一廠商辦理,未予適當切割,以致監督制衡效果不彰、驗證有欠獨立客觀,相關SOC、滲透測試、弱點掃描及資安健診等措施亦未發生效用,有欠周妥,但該部委外模式在各機關間並非個案,行政院既為資通安全管理法主管機關,宜針對相關風險研謀適當改善措施。此外,銓敘部長期缺乏資安人力資源,不僅有網管人員兼任資安工作、需投入大半人力自行開發或增修相關業務系統及人員流動率高等問題,更難以掌握ISMS輔導及驗證品質,均有改善必要;而資通安全相關法遵及技術知能要求與日俱增,其挑戰也不獨為銓敘部所有,行政院對於現行資安相關職系核心職能及培訓方式雖已規劃改善措施,仍宜持續推動並澈底落實,始能厚植機關資安專業,俾達成「資安即國安」之目標。
註: 係以行政機關、公營事業機構、衛生醫療機構及公立學校(職員)為統計範圍,不包括公立學校教師、軍職人員及各機關學校約聘僱人員、技工、工友、正式工員、駐衛警察與臨時、勞力派遣人員。