数据安全管理应有主动性,不断更新以配合科技的发展步伐,而不是处于被动的局面,面对突发问题才应对。
最近公共机构数据安全检讨委员会完成了针对公共机构数据安全的检讨工作,并提出了五项建议:一、提升数据保护和预防资料外泄;二、迅速侦测和解决泄漏事故;三、提升公务员保护数据的意识和能力;四、完善问责制度;五、加强治理架构以应对未来数码需求。
重要的是,各领域的公共机构高层领导必须时常关注监督和指导原则的具体运作,否则再多的原则最终还是沦为摆设。
要落实公共机构高层领导和关键职务者的普遍带头作用,思维和决心是两大挑战。单向培训和建立制度要求公务员超越基本要求当然很重要,但展现领导榜样是任何组织能成功带动群体行为的重要基础;这不是单靠改变绩效评估制度就能取得全面效果的。
除了整体性加强对公共机构数据安全管理的政策和架构,委员会也指出,人的因素是提高辨识风险能力的关键。因此,这项能力要求(competency)将列为公务员的关键绩效指标之一,并列入公务员数据安全培训制度。在加强问责制度方面,也将修正现有法律的一些漏洞。
建议在这套新措施中,各公共服务领域根据职能,如医疗服务、国家安全、交通、经贸、金融等,来建立针对相关业务流程的数据流向、权限和数据保护,建立更具体的操作环境指导原则和监督评估程序。这样一来,可以帮助公务员逐渐培养起“主动进行管理”的态度。这对公务员的参与和士气增强也有正面的鼓舞作用。
通过以上系统性改善公共机构数据安全架构,相信将有助于逐渐加强国人对公共机构数码数据安全的信心。这也是新加坡致力走向智慧国目标的重要环节。若无法实质解决国人对个人数据安全的忧虑,自然影响人们对电子政府服务的信心。
一、应关注数据安全的操作环境(Operating Environment)。建议中提及的事件类型,包括外部恶意攻击、内部人为疏忽、公务员粗心大意和第三方供应商处理不当等情况。如果公共机构只聚焦于这些类型的数据安全事件来加强流程管理,其思维还是十分被动的,对下一个“新型”事件的发生未必能及时侦察到。例如,业务流程和系统的改动,会影响服务者的数据要求(data requirements),若在系统设计或改动过程中不加以留意,结果可能“制造”出另一个数据安全漏洞。
二、数据应用、服务效率与数据安全管理效率之间的平衡。公共机构要关注如何平衡数据系统的行政效率要求与数据敏感性的平衡,以及行政部门与资讯科技部门(也包括第三方供应者)之间就系统升级方案的策略审查,以求达到既符合公共服务效率和成本,也兼顾数据安全管理效率。
没有关注以上的具体操作规范,解决数据安全问题的任何努力都会事倍功半。
对于如何加强公务员的数据保护意识和能力,委员会提出要打造精益求精的文化(culture of excellence)。这指的是公务员必须在执行业务或工作环境中体现出“主动进行管理”的态度。
这个针对公务员的态度要求的确是具突破性的。在公共服务体制里,一般公务员大多专注于更完美地尊守规则和操作流程,以避开被上级列入黑名单。因此,要改变机构文化并不容易,但这并不代表我们就能妥协。
以下是对“新措施能如何避免旧事重演”的一些看法。
