个资外泄事件频传 资安院3招因应

何全德今天接受自由时报「官我什么事」节目专访时表示，因应个资外泄事件上，可以分成事前、事中、事后3大阶段的防护机制。

事前部分，何全德表示，资安院有资安服务团，每年选定数个保有大量个资的政府单位，每次花费前后共3个多月帮单位从头到尾做检查，「就像人体健康检查一样」，从软体、硬体方面协助政府单位的资安，并给予改善建议。

企业若发生个资外泄事件，则属于事中阶段，何全德表示，资安院有一组专家，会随同各目的事业主管机关（例如：和泰车旗下共享汽机车服务iRent属于交通部，综合性电商虾皮、诚品生活属于数位部产业署），前往企业做行政调查，了解事件为何发生、如何改进等。

事后检讨部分，资安院除了当下提供建议、协助企业因应之外，也从国际引入许多资安的标准跟规范，让企业可以依循，借此打造更安全的环境。

何全德表示，提升全民资安意识非常重要，资通安全就像交通安全，厂商有责任制造安全的车辆与软体服务，但开车的还是人。同样地，在资安领域，民众上网时要能判断哪些是钓鱼网站、哪些软体不能下载，密码也要做更好管理才行。

资安院未来的3任务，何全德表示，第一，培养各式各样的资安人才，资安院成立后，已经把欧美的12项资安人才职能基准引进，后续会订出课纲，进行人才培训，资安院设计一套完整的能力验测方式，通过后资安院将核发职能证书。

他进一步说明，资安院今年优先培养2类人才，包括资安长跟资安事件工程师。现在金管会要求符合条件的上市柜公司设资安长，这1000多位资安长应该具备哪些知识、职能、如何跟董事会与业务单位沟通等。资安院优先培养资安长，预计设置两班，分别为「资安长班」与「资安长养成班」。

何全德观察，发生资安事件后如何处理，是目前最重要的工作，因此规划透过为期半年培训，培育资安事件工程师。

第二，资安院会投入个资保护技术的研究；第三，资安情资搜集。何全德解释，资安就像打仗，必须先搜集好情报，资讯完备后，才可以做更好的主动防御，未来还有人工智慧的新技术，可以让相关资讯更即时，也能提供民众更好的资安防护。