跳到主要內容區塊

計資中心電子報C&INC E-paper

專題報導

資安素養管窺之見
  • 卷期:v0064
  • 出版日期:2023-03-20

作者:張書元 / 臺灣大學計算機及資訊網路中心作業管理組行政專員


資訊科技快速發展,人類與資訊互動發生巨大的變化。使用者/用戶行為對資訊安全的作用變得更加重要,但如何建立資訊時代個人的資安素養?這是每個組織必須面對的問題。資安素養的定義在某種程度上說來源於資訊素養的概念,但資安素養不是資訊素養的子集。在網際網路時代,如何每一位使用者皆具備資安素養是個重要的課題。

 

前言

資訊科技快速發展,人類與資訊互動發生巨大的變化。這些變化產生了影響於:電腦科技的進步使資訊的產生(流通)、獲取、處理變得簡捷和普及;網路技術(網路、通訊)的進步改變了資訊傳遞和接受的方式及範圍。資料庫系統拓展了傳統資料的管理、傳承,及知識的共用範圍和方式;多媒體系統重新改寫了千百年來書寫文化系統。種種變化使人類的物質生活產生質和量巨大的變化。隨著網通技術的快速建置,互聯網服務的廣泛普及放大了資訊安全弱點的影響。相應地,使用者/用戶行為對資訊安全的作用變得更加重要,但如何建立資訊時代個人的資安素養?這是每個組織須面對的問題。

 

「素養」的詞義

素養一詞在日常生活中隨處可見,但其意義則眾說紛紜。本文嘗試追溯素養這個詞語的來源和本義。

  1. 《辭海》為該詞下了這樣的定義:『謂平日之修養也。』,並指出該詞最早出現在東漢班固所著的《漢書》和南朝范曄的《後漢書》。《漢書》李尋傳:「馬不伏櫪,不可以趨道;士不素養,不可以重國。」《後漢書.卷七四下.劉表傳》:「越有所素養者,使人示之以利,必持眾來。」,從語境上看來,意指君王平時應招納賢士為國所用,隱含了道德和價值的觀念。直到宋朝陸游《上殿劄子》:「雖得賢厚篤實之士,氣不素養,臨事惶遽,心動色變,則其舉措豈不誤陛下事耶。」這段文字中,素養一詞才得以解讀為平素之修習涵養。
  2. 從西方的角度看,Literacy(素養)這個名詞來自拉丁語“literatus”,其意是指一個有學問的人。劍橋大辭典(Cambridge Dictionary)中素養的定義:
    1. The ability to read and write (讀與寫的能力)
    2. Knowledge of particular subject, or a particular type of knowledge (具備某一特殊主題或學科的知識)

 

以美國為例,19世紀中葉(1840),會簽名就是有素養之人。20世紀中葉(1940),受教育的時間成為評比一個人素養程度的標準。可見時間和社會變遷的演變,素養的定義與內容也隨之改變。「素養」的意義是不再侷限於語文讀、寫、和說的能力;擴大為包含了個人受教的狀況以及一般的技能或知識。時至21世紀,素養也可以定義為一個群體為其成員能達到其設定的目標而所需的基本能力[4]。

 

資訊被認為是任何組織最有價值的資產之一,它使組織之間能夠協作和共享資訊,它提供其他人或組織,如何保護資訊和確保資訊傳播,傳輸不受干擾變得至關重要。

 

資訊科學的技術進步和快速普及並不能保證資訊保存安全的保存傳播,也無法提供百分百資訊存取安全的環境。電腦、資訊設備是由人操作,意味著資訊安全不僅是技術問題也是一個人為因素的問題。人為因素影響個人與資訊安全技術和系統如何互動;正是這種互動經常不利於安全。使用者更應該有資訊安全相關的素養。

 

在討論資安素養之前,先對資訊素養(information literacy)一詞進行了解,以助理解資安素養的環境意義和內涵。資訊素養一詞最早由美國資訊工業學會(IIA)主席Zurkowski於1974年在(美國)國家圖書館與資訊委員會(NCLIS)首先提出。1989年美國圖書館學會(American Library Association,ALA)提供的定義,資訊素養是指一個人具備覺知何時需要資訊,並能有效地搜索、評估和使用所需資訊的能力。一個有資訊素養的人能明確界定所需資訊的範疇,明訂所需資訊內容的廣度與深度,且能運用資訊科技工具或媒體有效率搜尋所需資訊,同時謹慎精準的評估資訊及周邊相關資源。透過個人的理解與篩選資訊後,將有用資訊融入個人知識體系或儲存設備,最後能以有效且在合於資訊倫理與法律條件下,達成資訊使用與傳播的目的[7]。

 

麥克克魯爾(C. R. McClure, 1994)指出資訊素養是資訊問題解決技巧(information problem-solving skill),包含「傳統素養」(traditional literacy)、「電腦素養」(computer literacy)、「媒體素養」(media literacy)及「網路素養」(network literacy),這些「素養」的結合成為資訊素養[6]。

 

從文獻可知,「資訊安全素養」一詞在國內首見於楊境恩(2004)在其碩士研究論文「國內警察人員資訊安全素養對資訊犯罪偵查能力影響之研究」中,他認為「資訊安全素養」應指個人俱備操作資訊處理與傳播的工具及系統,包括電腦、媒體系統與網路的基本能力,以及體認資訊安全價值與力量,瞭解資訊安全本質、管理特性的能力。楊境恩(2004)在其論文中並歸納資訊安全素養內涵應包括「資訊安全知識」、「資訊安全操作技能」、「資訊安全的應用、限制及影響」、「資訊安全倫理」等四個層面,其區別整理如表1所示[5]。

 

表1.「資訊安全素養」內涵層面整理一覽表

層面

內容

資訊安全知識

了解一些資訊安全定義、名稱、功能和常用資訊安全術語等。

資訊安全操作技能

俱備一些實際資訊安全操作與防護的能力,如資料的存取與管理、密碼及權限管理等。

資訊安全的應用、限制及影響

能利用資訊安全解決電腦防護問題,並瞭解資訊安全的限制與對電腦安全的影響。

資訊安全倫理

使用電腦時,能遵守資訊安全法律與及倫理道德,不利用電腦做違背法律及社會道德規範的事情。

 

毫無疑問的,資安素養的定義和範疇可以資訊素養為基礎,著重在「安全」的定義與內涵。因任何資訊系統及資訊服務安全之目標,必以能達成完整性(Integrity)、可用性(Availability)、與隱密性(Confidentiality)為主要的目標和原則,即所謂「C.I.A.」。隨著資訊科技的快速進步,網通平台的蓬勃發展,和社交網站的普及化,資安素養的定義設定的技術,能力,和知識不再僅是單指資訊系統的完整性、可用性與隱密性。擴大為個體具有基本資訊系統(實體或虛擬)安全概念、知識和能力,且能以倫理道德、態度及安全行為,進行資訊安全的蒐尋、評估、組織、和應用。

 

過去公私機構投入較多的注意力、精神和物力關注資訊安全技術問題。根據Data Pro Research Corporation所做的資通安全發生原因調查發現,完備的安全政策、良好的安全規範程序其資訊安全管理的績效並不顯著。究其原因,約有50%的事件是由不正確的個人習慣、未遵守相關安全程序以及人為失誤等資訊安全素養不足所產生。以往組織集中在技術問題(例如加密和防火牆),從而忽略了人這個因素。機構在致力在訂定資訊安全政策,和建置資訊安全管理系統,同時可經由資訊安全教育和培訓過程來逐漸形成組織的資訊安全文化來加強人員的資訊安全認知。

 

結論和展望

資訊安全素養的定義某種程度上說來源於資訊素養的概念,但資安素養不是資訊素養的子集。它是指人們對資訊安全的認識以及資訊化條件下資訊安全的各種綜合能力,包括資訊安全意識、資訊安全知識、資訊安全能力、資訊安全道德等。其中,資訊安全意識、知識和道德主要屬於認知層面,資訊安全能力主要屬於行為層面 [8]。整體而言,人員資訊安全素養是組織的基礎,資訊安全政策與上層領導為開端,將資安素養根植於組織每一個成員的心中並養成習慣,以達成組織永續經營目標。

 

在網際網路時代,每一位使用者皆應具備資訊安全素養,而素養的提昇如何著手是個重要的課題。

 

參考資料

[1]. 臺灣教育評論月刊,2020,九月。

[2]. 蔡清田(2011a)。課程改革中的「素養」(competence)與「知能」(literacy)之差異。教育研究月刊,203,84-96。

[3]. 顏嘉億,民國89年,高雄市國民小學行政人員資訊素養能力之研究。

[4]. Lyman, H. H. (1990). Literacy and Information Society. The Bookmark,

48 (3), 170-175。

[5]. 楊境恩(2004),國內警察人員資訊安全素養對資訊犯罪偵查能力影響之研究。樹德科技大學資訊管理研究所碩士論文。

[6]. Charles R. McClure, “Network Literacy: A Role for Libraries?” Information Technology and Libraries 13:2 (June 1994), pp.116-117

[7]. 莊道明(2012),A Bibliometric Analysis of the Theses and Dissertation on Information LiteracyPublished in the United States and Taiwan。

[8]. 謝淵任(2004),中學生資訊安全課程設計與發展。國立交通大學教育研究 所碩士論文。

[9]. Laudon, C.K., & Laudon, P.J., 2010. Management information systems.

New Jersey: Prentice Hall。

[10]. 陳智能-國小學童電腦自我效能與資訊安全素養之研究,黃埔學報第七十二期 民國106年。