| 0 |
許委員智傑:(10時24分)謝謝主席,我們再請部長。 |
| 1 |
黃部長彥男:許委員好。 |
| 2 |
許委員智傑:部長很辛苦,站了一個早上,比較累了!不過對資安大家都很重視。 |
| 3 |
黃部長彥男:對。 |
| 4 |
許委員智傑:我記得數發部有一個T-Road,就是很多單位都很容易被駭客入侵,所以你們就自己做一個政府骨幹的網絡,希望可以在一個安全的環境裡面傳送,以避免被駭客侵入。關於這個部分,我看了你們的資料,在47個A級機關裡面,現在除了行政院、立法院、教育部國教院認為他們沒有這個必要,其他44個都已經建置完成,對這個部分不知道數發部現在的立場是怎麼樣,其他3個到底是不是需要?是不是應該47個都一起?還是目前這樣子已經算是初步完成? |
| 5 |
黃部長彥男:報告委員,我們在去年就完成44個,今年的重點應該是把地方政府這些公務機關都能夠納入,就是有更多機關參與T-Road,至少有幾個直轄市應該是在今年會納入T-Road。至於這3個機關當初是說因為沒有業務需要而沒有納入,這一塊是不是請王司長再說明一下? |
| 6 |
王司長誠明:是,跟委員報告,因為他們當初沒有需求所以沒有納入,但是如果在之後他們有需求的話,我們會全力協助他們一起來納入。 |
| 7 |
許委員智傑:所以立法院、行政院都認為他們很安全嗎?萬一有被入侵,誰負責? |
| 8 |
王司長誠明:主要是因為他們沒有做跨機關的資料傳輸這一塊,因為T-Road本身的防護就是如果有做跨機關資料傳輸的話,在傳輸當中要去做一個安全的防護,但是如果沒有跨機關傳輸資料這種需求的話,它就不需要介接這個T-Road。 |
| 9 |
許委員智傑:OK,在6個縣市政府裡面,高雄市跟臺北市還在建置,那其他直轄市呢? |
| 10 |
王司長誠明:其他直轄市幾乎都有在導入當中,而且連接到T-Road有一個安控的伺服器,我們都是免費提供給這些縣市來使用,然後我們也會有輔導團去教他們。 |
| 11 |
許委員智傑:所以預計在明年(115年)可以全部完成嗎? |
| 12 |
王司長誠明:可以。 |
| 13 |
許委員智傑:可以嗎? |
| 14 |
王司長誠明:對。 |
| 15 |
許委員智傑:如果這個都完成之後,是不是在政府機關自己資料的傳輸之外駭客就沒有入侵的機會? |
| 16 |
王司長誠明:報告委員,這個是在做資料傳輸的時候駭客沒辦法入侵,但是機關本身還是要有一些防護措施,讓駭客不會從其他管道去侵入到它的系統裡面。 |
| 17 |
許委員智傑:所以這個T-Road就是將來可以用在政府機關之間,那我們現在看到有很多醫院都已經被駭客入侵,是不是有機會再把他們包括進來? |
| 18 |
黃部長彥男:應該是可以。 |
| 19 |
王司長誠明:是,有一些比較大型的醫院如果要上T-Road的話,我們是可以去幫他們做介接的。 |
| 20 |
許委員智傑:所以是不是全部的單位都知道這個?我覺得如果如你們所設定的真的這麼好用、真的這麼安全,那就應該更普遍的去用到各機關。假設你們在明(115)年可以全部完成,這個沒問題,然後在完成之後,相對的個資保護也好、資安也好,用T-Road可以涵蓋臺灣大部分機關的資料傳輸,就不會受到駭客的影響。 |
| 21 |
黃部長彥男:就是在資料傳輸過程中不會受影響,但是剛剛王司長也有特別講到,機關本身系統的防護要從稽核跟演練去確認它的安全,這是跟T-Road沒有直接關係,但是T-Road會有幫助,不過整個機關的安全還是要從根本對系統去做防護,這個我們會去做,只要是我們的政府機關或是特殊的非公務機關,我們都會再進一步去做稽核,確認落實資安的防護。 |
| 22 |
許委員智傑:好,沒關係。我之前一直在關心這個T-Road的進度,如果你們可以照進度在明年完成,那我也鼓勵你們趕快把這個事情先完成。 |
| 23 |
黃部長彥男:好,謝謝委員。 |
| 24 |
許委員智傑:另外,剛剛昆澤委員也有問到,就是你們的員額一直都聘不夠,現在數發部所做的事情通通都覺得人手夠了嗎? |
| 25 |
黃部長彥男:報告委員,我先澄清一點,我們現在的預算員額是617人,目前有五百一十多人,大概有百分之八十幾,不過還是不夠,所以還在努力的recruit人、尋找人,剛剛講的尤其是資安的人員,我們確實是努力在尋找中。 |
| 26 |
許委員智傑:所以你看,第一個,人員聘用不夠;第二個,資安署的離職率,確實比一般的公務機關都還要高,這有點奇怪,近5年全國公務人員的離職率是0.79%,結果資安署的離職率是2.18%,高這麼多倍,3倍。當然之前有所謂的霸凌事件,現在內部署長應該都已經整頓過了嗎?會不會再有這種情況? |
| 27 |
黃部長彥男:報告委員,離職率高有幾個原因,當然外面有一些吸引力,因為外面給的薪水很高。另外一點,因為公務工作比較繁重,工作重然後責任大,所以確實有些人員是因為這樣而離開。當然也發生過霸凌事件,經過處理之後,尤其現在新的署長上任之後,問題正在被解決中,所以各方面,我想在今年會有很大的進步。 |
| 28 |
許委員智傑:OK,簡單的說,你們同僚之間跟工作福利的部分,請部長也特別注意一下,因為資安署的離職率的確是太高,有待檢討。T-Road的事情,也希望你們儘快把它完成。謝謝。 |
| 29 |
黃部長彥男:好,謝謝委員。 |
| 30 |
主席(許委員智傑):謝謝。現在請徐富癸委員。 |
| 31 |
等一下游顥質詢完,就先休息10分鐘。 |
| 32 |
徐委員富癸:(10時32分)好,謝謝主席,有請黃部長。 |
| 33 |
主席:請部長。 |
| 34 |
黃部長彥男:徐委員好。 |
| 35 |
徐委員富癸:部長早。部長,我們這一次修法,有特別針對中央跟地方聯防機制的修法,我想這是很進步的象徵,也代表地方政府不再只是消極的配合,而是積極參與國家資安防線的一員,部長應該認同啦? |
| 36 |
黃部長彥男:完全認同。 |
| 37 |
徐委員富癸:但是,因為我過去也在縣市政府服務過,我很清楚知道,過去包含縣市政府,對於資安這一塊,它有一定的能量,但是往下一層,很多的鄉鎮公所,甚至很多中央派駐在地方的一些機關、分支機構,他們的資安能力,我們會很擔心,因為畢竟過去他們對這一塊是比較陌生,而且也沒有麼多的人力可以支應,但是面對未來的挑戰,包含現在對岸不斷地用駭客入侵的方式,我想不是只有中央的聯防機制要落實,跟地方的串聯,更是實務上很重要的挑戰,不希望出現所謂資安的破口。 |
| 38 |
我想請教部長,數發部是不是已經盤點地方政府資安的量能,包含所屬相關中央單位在各分支機構的量能,請部長說明一下。 |
| 39 |
黃部長彥男:現在資安法新的修法,就是針對中央跟地方能夠強化資安的防護,當然會牽涉到人力跟系統的問題,剛剛也說明過,因為地方的確不只是資安人員,資訊人員也不足,所以希望資訊系統向上集中之後,管理上會比較容易。至於盤點人力的部分,署長可以再補充一下。 |
| 40 |
蔡署長福隆:謝謝委員的關心,以盤點人力來講,目前所缺的資安人力大概是239人,的確地方是比較多一點,173人,我們會協助地方積極增加相關的人力。預算部分,也會儘量協助地方預算上相關的補助,都會儘量協助地方。 |
| 41 |
徐委員富癸:另外,針對相關資安設備的部分,我們也擔心地方政府的財力問題,資安設備如果沒有跟著升級,達到一定的防護標準,恐怕也是形成很大的破洞,這部分數發部是不是有協助的機制,甚至未來怎麼樣定期做具體的聯防演練,做地方跟中央資源的串聯,是不是有相關的規劃? |
| 42 |
蔡署長福隆:謝謝委員,的確在資安法修法通過之後,我們可以跟地方縣市政府作一些相關的稽核、相關的演練、聯防等等的機制,所以中央跟地方相關資安的防護,我想會更緊密來合作。另外,剛剛委員提到,例如說,地方在資安的人力上面,的確是比較不足,這個部分,其實我們在之前也有請地方成立區域的聯防中心,像臺北、臺中跟臺南,還有東部等等,能力比較強一點的縣市來協助能力比較弱的一些縣市,大家把區域資安聯防的概念提升上來。 |
| 43 |
徐委員富癸:這點本席還是要請部長能夠防範,因為我們也擔心,包含剛剛召委,大家都在關心人力缺口的部分,以現在看到職場上,一樣的薪水,可以去民間為什麼要來做你們的工作,所以我相信在薪資結構,甚至一些福利的配套措施上,也必須再強化一下,沒有好的誘因,怎麼會找到好的人才? |
| 44 |
另外,我想針對彈性的聯防機制,甚至共享的資安人力機制也必須儘快提出,這部分是不是可以在1個月之內給書面報告? |
| 45 |
黃部長彥男:再給書面報告,好,沒問題。 |
| 46 |
徐委員富癸:部長,除了地方的挑戰之外,我想回到中央,這次的修法,提出包含資安署可以稽核總統府、五院,甚至國安會等上級機關,當然我們很樂見這樣的設計跟實務的運作,但是會不會因為這樣子的處理,影響憲政體制的獨立運作,還有資安署的稽核上,是不是有更具體的作法跟說明? |
| 47 |
黃部長彥男:我想資安法很重要的部分,就是能夠對所有包含中央單位能夠稽核,不過稽核是一種協助,做演練,至於運作的細節,我請資安署再做說明。 |
| 48 |
蔡署長福隆:謝謝委員意見,的確因為資安是一體,以往除了行政院之外的其他4個院跟總統府,還有其他單位,沒有辦法在法的授權之下,做相關稽核跟協助的工作,因此沒有辦法整體來做相關資安,包括情資的分享跟一些聯防的工作,修法之後,就可以把整個,除了行政院之外,其他4個院跟總統府,大家可以整合在一起,這樣資安不管是在聯防協助跟情資的分享,都可以更完整的推動,以上。 |
| 49 |
徐委員富癸:我想國安的問題,大家都很關切,也是大家都要注意。部長,時代雜誌最近有報導AI安全公司針對美國的資訊中心發布,中國掌握多數AI中心關鍵零組件的供應鏈,如果這樣子蓄意的干擾,可能會造成資訊中心無法取得修復的元件,造成癱瘓的現象,而且更可能造成AI模型外洩的高風險攻擊,部長是不是有掌握這些資訊? |
| 50 |
黃部長彥男:如果說是AI的算力中心或資訊中心,當然這裡面有很多所謂server的component,我們原則上就是不能用大陸的產品,現在國內的部分,包括電腦業者,這方面我們自己還滿先進的,所以我想這一塊不會需要中國的component才能做這些東西。 |
| 51 |
徐委員富癸:部長,我想我們都肯定這一次資安法的修法方向,也期待藉由這樣的修法,能夠落實從中央到地方完整安全、國安防範的機制,大家一起來打拚,謝謝。 |
| 52 |
黃部長彥男:謝謝,謝謝委員。 |
| 53 |
主席:謝謝,我們請游顥委員。 |