iVOD / 149484
李昆澤 @ 第11屆第1會期交通委員會第2次全體委員會議
| Index | Text |
|---|---|
| 0 | 李委員昆澤:(10時15分)謝謝主席陳素月委員,現在請部長。 |
| 1 | 主席:請唐鳳部長。 |
| 2 | 唐部長鳳:召委好。 |
| 3 | 李委員昆澤:部長好。我想國人對數位部寄予厚望,當然民眾希望打詐要有一個具體的成果;第二,就是對於公私部門的資通安全、民眾的資通安全要有一個基本的保障,另外對於數位產業的發展也要給予一個正面的協助。我們來看,臺灣是全球資安威脅的一個重點區域,資安就等於國安,是國家安全的一個重點,國人希望數位部能夠改善我們國家公私部門的資通安全。當然,依據資通安全管理法,我們有分層管理的機制,包含內部的稽核、第二方的稽核或者是導入資訊安全管理系統,完成公正的第三方驗證。資安署也有重要的工作,就是完成他的稽核,包括公務機關、非公務機關等相關的稽核工作。 |
| 4 | 我們來看資安署的稽核成果,包括行政院所屬的公務機關當然都有很多待改善的事項,或者是特定非公務機關也有將近417個待改善的事項,行政院所屬公務機關則有702個待改善的事項,從稽核的成果以及資安事件的件數來看,公務機關跟非公務機關的資通安全其實還是有相當大的改善空間。從資安事件的數量來看,我們沒有看到減少,也都是有增加,尤其比較嚴重的像二級的事件跟三級的事件有增加的趨勢。當然部長也知道二級就是非核心的資訊業務等相關的部分遭到洩漏、竄改或者是停頓等等;那三級就是一般公務或是機敏資料遭到洩漏、竄改、停頓等等。這部分請部長簡單說明一下,我們目前資通安全的狀況。 |
| 5 | 唐部長鳳:是。我們看到這個件數的增加,有很大一部分的原因是因為我們採取鼓勵通報、即時聯防的政策,在此之前就是2021年或以前,資安專職人員不一定有意識到發生事情,意識到之後他並不一定有那麼強的保證說,他通報了之後立刻會有人來幫他進行應處,所以隨著我們應變處理的能力以及偵測的能力變強,本來事件的數量就會變多,這是第一個。第二個是我們現在透過像剛剛提到的巡迴稽核等等的方式,我們發現攻擊的數量以及攻擊手段的先進程度也不斷的在增加,所以其實我們是花了非常非常多的力氣,才能夠讓大家看到最近,包含選舉前等等那幾波大概都有擋下來。 |
| 6 | 李委員昆澤:好,部長,我們還是有發現一些其他的問題,依照資安法,資安署並沒有對所有的公務機關有稽核的權限,我們所屬的公務機關的資安資料有很多待改善的事項是沒有被資安署掌握的,對不對? |
| 7 | 唐部長鳳:我們絕大部分稽核都一定會管考,剛剛您如果提到的是像鄉鎮市議會或等等這些,這些我們在新版的資安法裡面有做處理,這個草案應該這幾天就會送到行政院。 |
| 8 | 李委員昆澤:好,另外一個問題就是一般的非公務機關,資安法沒有統一要求所有非公務機關的資安相關資料的義務,那我們非公務機關的資安維護計畫、遭受的資安事件,還是沒有辦法有效的掌握,這也是我們面對的問題。沒有資安法的規範,如何稽核資安資料、掌握資安事件,這也是數位部未來要處理的一個重要議題,請說明一下。 |
| 9 | 唐部長鳳:謝謝,當然它如果是非公務機關,但是被判成關鍵基礎設施或資訊系統的話,這部分是在資安法裡面。委員剛剛提到的,有些外面很多人在用,它是上市櫃公司,這樣的話,現在它也要有資安事項、發表重大訊息、要設資安長等等。如果又沒有上市櫃的,就是普通的這些產業的話,我們現在也透過像TWCERT/CC在資安院提供他們24小時、每週7天的即時應處服務,看署長要不要…… |
| 10 | 李委員昆澤:部長,我還是具體建議我們現在有的機制還是要強化啦,各單位的內部稽核現在是一年兩次,我是希望能不能調高頻率,至少每季一次,看能不能有這樣的調整方式。另外就是要持續擴大辦理針對現有的公務機關以及非公務機關的稽核頻率跟次數,而且要分為定期跟不定期來做稽核,請簡單說明一下。 |
| 11 | 唐部長鳳:當然我們現在有個重要政策就是去導入所謂的端點偵測系統,意思就是說不是只有快稽核的時候我們才來看它的狀態,而是它隨時會回報它實際的狀態。除此之外,剛剛委員提的也很好,就是像社交工程的演練或者是我們請紅隊來實際上打打看等等,這個事前也不會告訴他們到底是用什麼手法來做,其實這些我們都有在做,是不是資安署也多說明一下? |
| 12 | 李委員昆澤:請資安署說明一下。 |
| 13 | 謝署長翠娟:好的,謝謝委員。其實除了資安稽核之外,我們還有從外部去看網路上面的流量去監測是不是有駭侵。第二個,我們也會做攻防,就是說它自己說它做得很好,但是我們會攻防看看它有沒有問題,就是從外面是不是攻得進去,所以其實不只做資安稽核。 |
| 14 | 另外跟委員報告,其實我們偵測發現網路上的攻擊真的有變多,我們現在是導入隨時的監測機制,所以他們隨時有問題我們都是及時要求他們改善。 |
| 15 | 李委員昆澤:時間也到了,最後我還是提出具體的建議,除了現行機制的強化,對於資安法的修正,我們看到現在非公務機關,它不是資安法規範的對象,也沒有主管機關去要求他們的資安防護,這個要持續研議來跟業界溝通,以公司的規模或者是他們涉及的業務為基準,逐步將非公務機關納入資安法的範疇。數位部現在有一些修正草案,資安署具有定期或不定期稽核公務機關以及特定非公務機關的權限,這部分也要加強跟行政院的協調,完成行政院的共識並送到立法院來。 |
| 16 | 唐部長鳳:沒問題,謝謝。 |
| 17 | 主席(李委員昆澤):現在請陳素月委員發言。 |
公報詮釋資料
| page_end | 412 |
|---|---|
| meet_id | 委員會-11-1-23-2 |
| speakers | ["李昆澤","徐富癸","林國成","許智傑","葛如鈞","黃健豪","魯明哲","陳素月","林俊憲","邱若華","蔡其昌","廖先翔","謝衣鳯","游顥","林沛祥","何欣純","徐巧芯","羅智強","李坤城","陳冠廷","黃珊珊","翁曉玲","洪孟楷","劉建國","楊瓊瓔","牛煦庭"] |
| page_start | 349 |
| meetingDate | ["2024-03-07"] |
| gazette_id | 1130901 |
| agenda_lcidc_ids | ["1130901_00006"] |
| meet_name | 立法院第11屆第1會期交通委員會第2次全體委員會議紀錄 |
| content | 一、邀請數位發展部部長唐鳳列席報告業務概況,並備質詢;二、邀請數位發展部部長唐鳳就 「112年度出國預算辦理成效及113年度預計效益」進行專題報告,並備質詢 |
| agenda_id | 1130901_00005 |