| 0 |
羅委員美玲:(9時26分)謝謝主席,有請蔡局長。 |
| 1 |
蔡局長明彥:謝謝主席,羅委員早。 |
| 2 |
羅委員美玲:局長早。局長,國安局作為我國情報統合的機關,負責我們國家安全情報工作以及特勤工作的策劃跟執行,業務其實是具有非常高度的機敏性。近年來,我們可以看到中共的網軍還有國際的駭客持續的侵擾,讓國安局面臨的資安威脅事件是逐年的在攀升。所以本席也看到,在114年度你們有針對資安維管工作編列了將近9,800萬的預算,作為資安相關設備維護跟採購的經費,這個部分的確有助於提升國家情報工作的資安防護能量,本席是予以肯定跟支持的。 |
| 3 |
蔡局長明彥:謝謝委員。 |
| 4 |
羅委員美玲:可是要如何確保資安維護工作能夠真正的落實並有效的執行,關於這部分,接下來我想要進一步的跟局長做一個討論。因為國安局的業務是涉及國家安全跟相關機密事項,機密的程度是非常的深,所以是屬於資通安全責任等級A級的機關,自屬受敵方勢力跟國際駭客進行的網路攻擊也好,或者是侵擾事件,是影響最大的單位之一。所以我們可以看到,國安局在資安人員的部分有一些評比、有一些考核的指標,可是我從今年的預算書所列的年度關鍵績效指標來看,關於維持資安人員專業證照比率的這個設定,你們看起來是有過於保守的趨勢。您看我們的目標值一直都定在85%,像111年、112年這個目標我們都是定在85%,113年、114年雖然有提升到88%,可是我們看到實際的狀況,像112年都已經來到91.39%,所以我們認為定這個目標值是不是太過於不具挑戰性,請問局長,你怎麼看這個部分? |
| 5 |
蔡局長明彥:謝謝委員關切這個問題,因為就像委員剛剛所提到的,本局對於資安的維管向來都非常的關注,不只投注相當多的資源;另外,在人才培訓的部分,也是我們在這部分主要的工作重點。至於委員有提出來說,為什麼近年在證照取得的比率上,本局所定的目標值大概都只有85%到90%之間,主要的原因是在於說我們也必須要考慮到…… |
| 6 |
羅委員美玲:88%至90%吧! |
| 7 |
蔡局長明彥:對,大概是在85%到90%中間這個區段在游移,會有這樣的原因主要是我們必須要去考慮到人員的離退,因為你只要在當年度有人員離退的話,它自然會讓那個證照率下降,所以它是一個有點機動、浮動的一個狀況。委員也知道,本局因為有軍職人員跟文職人員,特別是軍職的人員,他們只要一屆齡之後就必須要離退;尤其有一些具資安背景的同仁,他在民間市場上也非常具有競爭力,也可以找到更好的工作,所以我們必須在律定所謂的目標值時要考慮到因為人員流動所產生證照比也會被拉下來的一個問題,這大概是我們當時在編列這個目標值時主要考慮的一個重點。 |
| 8 |
羅委員美玲:所以說,在一年當中,可能它都是會有一些的浮動,所以你們就會定的比較保守一點的意思嗎? |
| 9 |
蔡局長明彥:對,跟委員說明一下,以歷年的經驗來講,流動率大概都有一成左右。 |
| 10 |
羅委員美玲:一年當中都會有一成的流動率? |
| 11 |
蔡局長明彥:對,平均。 |
| 12 |
羅委員美玲:所以會變成你的目標值也不敢拉得太高。 |
| 13 |
蔡局長明彥:是,因為人員的流動,新進人員進來要去完成這些證照的考試,他會需要有一個過渡的期間。 |
| 14 |
羅委員美玲:瞭解。再來還有一點,就是在我們資通安全責任等級分級辦法裡面有明確要求,A級機關的資安專職人員必須取得4張以上的證照,而非專職人員也必須要定期接受資安訓練,國安局作為A級機關,你們在這個部分有沒有去做要求?譬如說,對專職人員是不是會要求他必須要有4張以上的專業證照;非專職人員必須要定期接受資安的教育,你們有這樣子的要求嗎? |
| 15 |
蔡局長明彥:有,我們這幾年大概這一方面都依照相關的規定跟要求來達標,而且我們不只有…… |
| 16 |
羅委員美玲:這個部分你們有訂定績效指標嗎? |
| 17 |
蔡局長明彥:有,我們不只是要求要去積極的來考取相關的證照,要是能夠考取證照的話,我們也會有一些工作的津貼跟獎勵來鼓勵同仁積極考取相關的證照。 |
| 18 |
羅委員美玲:所以你們是完全按照資通安全責任等級的規定,依照這個分級應辦的事項來做辦理就是了? |
| 19 |
蔡局長明彥:對,而且也跟委員補充說明一下,這邊委員在螢幕上有顯示,對於非專職的資訊人員要定期來進行相關的資安教育,我們甚至不是只有針對國安局的資安人員來進行資安的教育,針對我們整個國安團隊,包括國安局11個單位,我們也安排相關的課程來協訓各個國安單位的資安人員。 |
| 20 |
羅委員美玲:對,因為這部分我們在預算書上看不到細項的部分,所以我們也想要知道,這個部分你們有沒有來比照辦理。 |
| 21 |
蔡局長明彥:有、有、有。 |
| 22 |
羅委員美玲:這些你們都是有的嘛。 |
| 23 |
蔡局長明彥:有,我們依照規定辦理。 |
| 24 |
羅委員美玲:OK。再來,還有一點就是,因為還有一點時間,我想要請教一下,關於資安稽核的作業跟網路攻防演練,也是你們資安維管一個很核心的工作,國安局在114年編列了一筆1,100萬的預算,要針對網路空間攻防技能的培訓場域的系統軟體進行維護,可是不管是資安稽核作業,還是網路攻防的演練,我在預算書上一樣還是沒有看到實施的項目,還有其次數跟成效,這個部分要請問局長,這部分這是不公開呢,還是說你們根本在這個部分…… |
| 25 |
蔡局長明彥:有、有、有,跟委員說明一下…… |
| 26 |
羅委員美玲:有沒有實際落實? |
| 27 |
蔡局長明彥:有,剛剛也有跟委員提到,我們在網路的專職教育還有資安的攻防演練都有定期的在舉行,而且特別要強調的是,不是只有局內的同仁來參加相關的演練工作,我們會邀集我們國安團隊、其他的資安團隊進來做相關的演練,而且還有涉及到跟外國相關團隊交流的經驗。所以這部分在執行規劃上不是只有本局,還有我們國內的友軍以及其他友盟國家在這方面的合作。 |
| 28 |
羅委員美玲:有可能國安局真的是屬於比較特殊的單位,所以很多相關的資訊我們是看不到的,例如像我們在前一頁有提到,我記得是在第3頁有提到,在關鍵績效指標裡面有提到強化資安維管工作,我們每一年必須要有36篇完成蒐研、分析跟發布資安通告篇數,像這個的話,我們就有內參嘛,我們只供內參嘛。 |
| 29 |
蔡局長明彥:沒有,跟委員說明一下,針對一些相關重大的資安攻擊事件的話,我們整個中華民國政府有一個通報的機制,假如有涉及到民間單位,我們也會請政府的業管部會去通知民間單位要注意到可能有資安攻擊的警訊,這大概是第一個部分。第二個部分,我們除了內參以及內部政府的跨部會聯繫通報以外,我們針對一些國際或國內的資安情勢每個月都會有一個比較簡單的報告公開上網在本局的網頁。 |
| 30 |
羅委員美玲:對,我現在看到的就是簡單的報告,希望我們有個資通安全訊息,我們看到的就是一些簡單的報告,這36篇的內容是不適合公開嗎?因為我們是看不到這些資訊的。 |
| 31 |
蔡局長明彥:關於資安的通告,我們是透過政府系統去進行相關的通告,但是資安訊息的公告,這部分是在網路上來公告,這部分我們會參酌國際資安公司一些相關的專業意見,一起彙整之後在網路上公開。 |
| 32 |
羅委員美玲:最後,因為我有看到國安局的網站歷年來被駭客成功入侵的次數都是零,表示國安局對網安的威脅事件有非常厚實的能量…… |
| 33 |
蔡局長明彥:沒有錯! |
| 34 |
羅委員美玲:所以我在想是不是可以跨部會來給大家做一些參考?可能給他們做一些分析,看你們怎麼做到的,這部分可以讓其他部會來借鏡。 |
| 35 |
蔡局長明彥:這部分謝謝委員提醒,我們會跟其他部會來分享我們的經驗,也跟委員很老實的報告,只要是真的有經驗、有能力的外國駭客,一接觸到我們網站,大概就知道我們建立的能量非常強大,所以他們不太願意花時間來攻打這樣的目標。 |
| 36 |
羅委員美玲:所以我在想這個可以供其他行政單位來參考。 |
| 37 |
蔡局長明彥:好,謝謝委員點醒。 |
| 38 |
羅委員美玲:OK,以上,謝謝。 |
| 39 |
主席:謝謝羅美玲委員。局長,請回。 |
| 40 |
接下來進行詢答的委員是黃仁委員。 |