監察院今天說,全國有 24 萬餘名公務人員個人資料在 2012 年 6 月外洩,但到 2019 年才被發覺,等於每 3 人中至少有 2 人資料遭到外洩達 7 年之久,銓敘部責無旁貸,應檢討改善資通安全管理制度。
去年 6 月發生國安局等機敏機關在內的 58 萬餘筆公務人員個資遭人置於國外論壇販賣,有威脅國家安全之虞。仉桂美、劉德勳、包宗和立案調查,監察院教育及文化委員會 16 日通過調查報告,促請銓敘部檢討改善資通安全管理制度(Information Security Management System,ISMS)。
監委們指出,根據相關資料研判,此案是 2012 年 6 月外洩,直到 2019 年 6 月才被發覺,而外洩內容是銓敘部 2005 年 1 月 1 日至 2012 年 6 月 30 日間中央及地方機關公務人員送審人員歷史資料,經比對後實際影響人數為 24 萬餘人,含行政機關、公營事業、衛生醫療機構及公立學校職員。
監委們表示,依據銓敘統計年報,2012 年底全國公務人員共計 34 萬 3861 人,換言之,全國 70.77 %的公務人員個資遭到外洩,等於每 3 人中至少有 2 人資料遭到外洩達 7 年之久。
監委表示,銓敘部雖稱遭外洩者都是文職人員,但所掌業務機敏與否,與文職或軍職身分並無關係,以法務部調查局及所屬調查站為例,自首長以下,約有 2000 餘人個資遭到洩漏,對國家安全影響不可謂不大。
不過,監委也說,由於資料外洩至今已逾 7 年,相關軟硬體都已報廢,行政院技術服務中心、法務部調查局及內政部警政署刑事警察局都表示以現有數位跡證,難以追查實際外洩過程及原因。
監委調查發現,銓敘部屬於資安責任等級A級機關,但一直到 2016 年 10 月才將可存取全國公務人員銓審資料的「銓敘業務網路作業系統」及「公文管理及線上簽核系統」納入 ISMS 驗證範圍,使含機敏機關在內的全國公務人員個資長期暴露於高風險環境,此案 58 萬餘筆個資洩漏,銓敘部難辭其咎,顯有違失。
監委們指出,銓敘部長期漠視全國公務人員個資洩漏風險;銓敘部將資通安全管理制度輔導及驗證工作委由單一廠商辦理,沒有適當切割,以致監督制衡效果不彰、滲透測試、弱點掃描及資安健診等措施也未發生效用。
此外,監委提到,銓敘部長期缺乏資安人力資源,不僅有網管人員兼任資安工作、需投入大半人力自行開發或增修相關業務系統及人員流動率高等問題,難以掌握資通安全管理制度輔導及驗證品質,有改善必要;監委們認為,行政院對於現行資安相關職系核心職能及培訓方式雖已規劃改善措施,仍應持續推動並澈底落實,才能厚植機關資安專業,達成「資安即國安」目標。
(新聞資料來源 : 中央社)
評論被關閉。