| 00:00:01,676 |
00:00:03,205 |
謝謝召委 請一下黃部長請部長 |
| 00:00:10,182 |
00:00:30,925 |
部長您好 相關國家的資安架構是非常重要的不管是公部門或者是非特定的公務機關我們發現到相關的資安人力的配置是嚴重的人力不足那相關的資安人力的配置就好像是一座城 |
| 00:00:31,866 |
00:00:54,283 |
我們相關的資安架構就是要守護這一座城的相關的基本的人力基本的人力不足的時候其實成本是很容易被攻破的要一個打十個不是每個資安人員都是越問我們來看我們數位發展部我們的資安署所公布的統計資料就是2023年 |
| 00:00:56,425 |
00:01:03,007 |
就是中央級地方公部門它依法配置的資安專責人員要有1533人但是實際編制的正式人員只有939人它僅佔需求的61.25%而已 |
| 00:01:14,631 |
00:01:38,170 |
如果說我們中央級地方的公部門非正職人員因為正式人員不足我們有一些非正式人員的人力補充包含約聘僱委外總共335人即使再加上這一些外聘的人力公部門的缺額還是達到239人就是說有近16%的缺口沒有填補那 |
| 00:01:40,307 |
00:01:58,402 |
人力的不足啊 職安人力的不足 部長有什麼具體的想法嗎我們部裡面 針對剛剛講就是說一個當然就是我們有一些訓練 轉職系的訓練那預計今年都就是大概是五百 四百五十到五百 就會補今年會補四百到五百個人 |
| 00:01:59,102 |
00:02:25,934 |
那另外當然我們有高考的所謂的資安類科那個也大概我們會增加我們的宣傳希望更多人來報考那希望從這些訓練管道轉職系跟高考的這樣一個人員來補充我們現在資安人力不足的問題那細節是不是資安署署長資安署這邊我還是要提醒你們我們公部門的資安的人力是嚴重的不足 |
| 00:02:26,581 |
00:02:42,257 |
那當然主要的原因就是待遇不具競爭力工部門的薪資是低於業界這當然是不爭的事實以及現行的人事的規定它彈性不足 |
| 00:02:43,058 |
00:03:06,374 |
那我們看看特定的非公務機關像關鍵的基礎設施的營運單位或者是國營事業或者是經過指定的重要民間機構它其實同樣依資通安全管理法它還是需要建立資安的組織跟專責的人員它其實也同樣面臨資安人力不足的問題 |
| 00:03:08,649 |
00:03:35,843 |
我認為我們公司部門同樣面臨這種專業的資安人員的編制不足以及正式的編制人員大概只有六成出頭那剩餘的都要靠約聘跟委外來處理那其實它的外流這種職位的穩定性還是嚴重不足了離職率非常的高來說明一下 |
| 00:03:36,434 |
00:04:02,566 |
是謝謝委員的指導委員所講的確是一個非常重要的一個問題那的確是因為現在資安人力非常有限所以各個領域各個部門公司都在競爭有限的資安人力那待遇的確是一個非常重要考量的因素那因為公部門的待遇的確是沒有辦法跟市部門的這種待遇薪資來比較所以在人才的競逐上面是比較吃虧所以我們有一些 |
| 00:04:03,146 |
00:04:17,142 |
包括一些獎勵的措施 待遇的這些流採的措施目前是有一個增資加給就是只要是有這個A級的機關他可以有些增資加給來增加他的一些待遇不過這個還是永遠不足以對對對 |
| 00:04:19,466 |
00:04:38,528 |
是否能夠將資安人員來列入這種高風險的專業的職系提供額外的這種職級的晉升跟員工加級來留住人才這個是不是以後要推動的一個方向是的我們會努力那這個要跟人事總署這邊再來積極的溝通 |
| 00:04:40,689 |
00:05:02,389 |
另外我們對於地方機關的資安的問題同樣他的資安責任以及他實務的推動還是有陷入相關的困境我看到我們台灣2024年每週平均遭受3993次的攻擊這是全球平均的138.6%是亞太之罪 |
| 00:05:06,653 |
00:05:23,866 |
那當然我們看到修法好像只是聚焦在相關的集合通報流程的提升它其實它制度的最脆弱最核心的漏洞還是沒有去能夠完全的防禦那我們看看全台灣368個鄉鎮當中 |
| 00:05:28,052 |
00:05:50,903 |
有超過1%是沒有專任的資訊人員更不用說資安人員那原鄉地區有很多人他一個人要負責多種的業務社福、民政、急難救助以及相關的這些工作他還要再加上資訊的這些工作一人身兼多職 |
| 00:05:52,043 |
00:06:09,300 |
那我要嚴肅的請教一下蘇發部我們有沒有去盤點鄉鎮層級的實際他的資安的基礎能量以及這些機關有沒有基本的偵測跟通報的能力來說明一下那個我們在署長說明 |
| 00:06:10,337 |
00:06:27,770 |
謝謝委員講到一個問題的重點就是地方基層的這種資訊或資安能力不足的問題那這個當然人的問題有時候不是本時間內可以解決那我們目前是從整個架構上面是向上集中因為這是重要的資訊系統還有資安的防護主要還是由縣市政府這邊來負責整個的規劃跟推動 |
| 00:06:31,352 |
00:06:59,421 |
規劃跟推動你們有沒有要去建立相關的這種區域的資安資源的團隊面對這種編制跟人力不足還有資安的漏洞所以我們才會說向上集中之後再建立一個區域的資安的團隊例如說跟當地的一些大學等等的合作由他們來做一些相關的資安的一些不管是檢測還是防護的防護的輔導跟協助我想這種公私協力才有可能把這個鄉鎮公所的這個資訊或是資安的能量來提升 |
| 00:07:00,357 |
00:07:24,543 |
這都是很嚴肅而且很嚴重的問題最後我問一個問題就是說我們的資安的事件它相關的通報制度以及它揭露的一個問題我們來看看其他國家跟我們台灣的這些相關揭露以及通報的這些的落差那台灣主要是要求內部的足跡通報 |
| 00:07:25,783 |
00:07:39,995 |
其實對外揭露缺乏強制性因為我們台灣的治安法主要是強調內部通報那規定政府單位以及特定非公務機關發生治安事件的時候 |
| 00:07:40,856 |
00:07:55,642 |
它依照事件的等級在一定的時間之內要足及的上報主管機關跟行政院的資安的這些主管機關那其實對外揭露方面它其實沒有強制的條文 |
| 00:07:56,542 |
00:08:19,755 |
只有在涉及個人個資的時候會適用個人資料保護法而要求通知當事人那但是我們個資法的規定也相當的籠統缺乏明確的時間的這些實現跟處罰那實際上其實是有很大的問題那我們來看看美國歐洲日本韓國 |
| 00:08:20,976 |
00:08:43,272 |
他們都有明確的規定他們規定24至72小時之內有強制通報及揭露的這個制度那這個對重大事件的公開揭露及通知的義務他們都有明確的規定那我是不是具體建議我們重大的資安事件應該在72小時之內就要通報政府 |
| 00:08:44,532 |
00:08:59,450 |
另外要建立揭露的義務跟他的一些差別性的罰則來避免這種沉默的共犯造成食安更大的漏洞那食安的通報是不是能夠比照食安的制度 |
| 00:09:01,051 |
00:09:21,797 |
具備強制揭露跟風險預警的功能來簡單說明一下謝謝委員建議我們現在是有要求就新的治安法有要求通在一個小時之內要通報不通報的話要會有罰則所以這個應該是會比委員建議更更更力道會更強一點不過但這個這個我們會在這個新的治安法 |
| 00:09:22,677 |
00:09:40,022 |
我知道我們也有相關的這個規定我們是要更明確的在相關的法則以及在制度的追蹤監督落實這個方面必須要更具體啦不要落於這種只是虛文的一個規範而已我們會嚴格執行謝謝委員 |