| 0 |
魯委員明哲:(11時8分)謝謝主席,有請數位部黃部長。 |
| 1 |
主席:請部長。 |
| 2 |
魯委員明哲:黃部長,你是從去年520之後跟新的政府團隊入閣的,我想請教一下這幾年有什麼變化,以及新舊部長是不是有什麼不同的看法。首先,去年預算中心針對112年數位部抽測了大概15到24個公務機關,來協助及瞭解一般公務機關到底資安的品質如何。其實在112年的時候主要檢測的方向分成技術檢測及實地檢測,在檢測過程中,第一項技術檢測針對15個機關,其中有13個機關連基本的落實電腦安全更新(update)都沒做,這是當年其中一個檢測的項目,缺失機關的比率高達86%;第二個,實地檢測針對24個公務機關,其中有17個出現了資安上面的漏洞,缺失率達70%。這是你們提供給立法院112年的資料,不是我個人蒐集的。 |
| 3 |
然後113年也結束了,所以我們就請教113年的狀況是如何,因為通常這種KPI是要每一年來做比較,即所謂的數據管理,這樣你比較容易了解,我也比較清楚,當然這有兩個部分,對於舊的問題要如何改善,要去進行追蹤,譬如說這些被檢查過的公務機關有問題了,不能擺著不管,還要去review,看看有沒有改善,這個部分我有跟你們調資料,你們說有持續追蹤。我們再問113年對於新的一些公務機關再展開第二波的部分,因為公務機關那麼多,112年只有檢查15個,所以你們針對新的機關有沒有去做呢?到底是什麼狀況呢?請部長說明一下,新的機關你們做了幾個?還有新的技術檢測跟實地檢測的缺失比例又是如何? |
| 4 |
蔡署長福隆:跟委員報告,剛剛委員所關心的稽核結果,113年我們也是一樣,針對40個政府機關來做實地的稽核,稽核的情況就如委員所提到的,包括在整個技術上面的檢測跟相關的一些管理,我們發現是有些提升,至於缺點的部分,的確是有要再改進的地方。 |
| 5 |
魯委員明哲:署長,請問一下,我們這邊列出的是你提供給我的,有三項是明顯進步,顯著提升有兩項,它的比較基礎是什麼?因為提升表示原本是在這裡,但後來提升了,所以你是針對112年這些檢查過的公務機關再去了解後發現他們有明顯的進步,是不是? |
| 6 |
蔡署長福隆:跟委員報告,我們並沒有在做比較,而是針對不同的機關來做稽核,所以113年所稽核單位並不是112年稽核過的單位。 |
| 7 |
魯委員明哲:你們113年是針對不同的機關,請問你們稽核了幾個機關? |
| 8 |
蔡署長福隆:40個。 |
| 9 |
魯委員明哲:40個機關? |
| 10 |
蔡署長福隆:對。 |
| 11 |
魯委員明哲:技術檢測的缺失率大概是多少? |
| 12 |
蔡署長福隆:技術的檢測其實就是有一些需要再改善的地方,就是剛剛委員所提到的,包括對網域、網路、資料庫,還有一些核心的系統等等,我們都有做一些檢測,每個機關經檢測完畢之後,我們都會提出一些相關檢測上有缺失的地方,請他們改進。 |
| 13 |
魯委員明哲:部長、署長,我覺得這有點奇怪了,何必呢?都有進步嘛!缺失率現在一展現出來,今年只有32%,哇!大家給你掌聲啊!但有這麼辛苦嗎?我跟你講,任何人若要從KPI數據上面去比較,你這樣做等於是讓一件事情複雜化,你做數據的人、做數位的人,把它倒過來用一些形容詞來講這個,像明顯進步或是顯著提升,我真的不想把時間耽誤在這裡,我希望113年能夠具體化,提一個數據出來,是好、是壞你們自己知道,大家也都知道,然後逐步改善就好了,部長,能不能把它一致化? |
| 14 |
黃部長彥男:好,我們再提供數字給委員。 |
| 15 |
魯委員明哲:好的。部長,接下來,有關資安的人力荒,事實上你們是一個比較新成立的機關,所以要搶人;第二個,你們又需要非常專業的人,所以其實沒有很容易,我們都知道。但是你們在訂定相關法規時,就像今天又要修法了,但法修完,訂定了一些規則,你們就是要落實,定這些法不是給民眾看的,是我們自己要先落實,包括一些相關機關必須要有專職的資安人力,這是你們的規定,而且也是你們的業管範圍。但我們看到,一樣是112年,中央的部分,法定的員額還缺66人,占整個中央機關應有專職資安人員的比例,大概缺了8.4%,看起來不到10%;地方就比較嚴重了,地方缺了23.1%,這是112年的數據。 |
| 16 |
這應該是跟資安署有關吧!對此,我覺得應該要有進步,所以針對113年,你給我看一個數據,若減少了、優化了、問題收斂了,大家會給你肯定嘛!畢竟數據會說話,可是你知道你們是怎麼說的嗎?不知道部長知不知道,你們回答我們說113年的資料還在填報作業中,這是114年4月回答的,你們是一個講究效率的部會,卻跟我講還在填報作業中,我覺得好奇怪!因為一個蘿蔔一個坑,到底缺多少人,就是定出一個時間點,比方說去年12月31號截止,有人就有人,沒有人就沒有人,上個月補的不算,怎麼會統計不出來?就跟剛剛一樣,拜託一下,一定要統計出來這個部分,你要看,我也要看,就是從中央到地方各單位有沒有做好資安,這個部分我也希望部長去注意一下。 |
| 17 |
黃部長彥男:好。 |
| 18 |
魯委員明哲:再來,既然缺人缺這麼多,我們看到左下角的職缺低提報,即113年公務人員有新開缺,高考三級資通安全類科在各地報缺後也開缺了,但我們看到報缺的數額也非常低,部長能不能用一句話回答,到底中央、地方在不在乎資安專業人力這個事情?你的感覺是如何? |
| 19 |
黃部長彥男:報告委員,我們資安人員的任用有幾個管道,一個當然是所謂的轉職系,就是從既有的公務人員再做訓練,希望轉成資安人員,原來預定目標是1,000人,目前已經訓練了兩、三百人,預計今年至少會有450人,也就是因為這樣的關係,所以直接從高考進來的部分,目前各單位的提報人數就比較少,不過我們會加強宣傳。也就是說,這個新的管道應該也是一個很好的管道,對我們的資安人力荒是有輔助的,所以我們會加強宣導,也希望未來高考資安類科這方面的職缺能夠多開一點,不過我們現在主要還是靠內部資安人員的轉職系訓練,目前是以這個方式在進行。 |
| 20 |
魯委員明哲:部長、署長,我語重心長,所謂的資安,從另外一個角度,就是影響資安的人跟物,還有software、AI的進步速度是用飛的,我感覺你們在處理這些事情上,好像每一年我都是在問同樣的問題,我是不敢這樣說,說你們都是用爬的,你們就是正常在走,所以我都不知道這個仗要怎麼打,我是希望能做的,中央、地方就積極做,因為你們要面對的是一個挑戰的變化,未來你們應把精力花在這裡。 |
| 21 |
最後,剛剛我們好幾位委員也特別說過了,上次跟你見面我也問你,上次提到很多機構遭到駭客入侵,把資料都竊走了,我今天要特別講,我們中壢長慎醫院遭駭,8萬病歷外洩,因為駭客要錢,後來好像有上暗網去賣病歷,真的還是假的我們不清楚,但我覺得你們要去協助一下,你看從馬偕醫院到彰基醫院,甚至到亞大附屬醫院,一直到現在的長慎醫院,當中有的是教學醫院、教學中心,有的是地方級的區域醫院,我是覺得你們不能夠說這是私人的問題,你們要有一個真的可以去協助的機制,你上次也答應我說要研究看看怎麼樣去協助。基本上,這並不是去管理它,但是你要有一套機制來協助,比方說有公司被詐騙了,結果警察機關說他沒有管這家公司,你不能這樣回答我,而是應趕快弄個SOP,想方設法看看怎麼樣阻止或者讓大家受傷受到最少,因為這種東西滿可怕的,像有一些私人企業的買賣,甚至機票的買賣,大概就是涉及個資外洩,已經讓人很頭痛,而我提的這個東西涉及個人病歷,如果沒有經過允許拿到個人病歷,那是一個更嚴重的犯罪行為,像這樣的個人病歷,連個資之外的都被賣掉了,所以我是建議你,在你們資安責任等級、分級表中,所謂教學級的醫院是被分為特A級嗎? |
| 22 |
黃部長彥男:A級單位。 |
| 23 |
魯委員明哲:因為A級主要是包括公立的,那私立的部分是什麼意思?公立的有好幾萬筆,要予以防範,因為那是很重要的醫療資訊,那私立的應是特A級,不能不管! |
| 24 |
黃部長彥男:報告委員,我們會跟衛福部合作,把這一些規範再訂清楚,當然醫院有很多個資,我們當然也知道這個滿重要,資安法修法通過之後,對於這種特定的非公務機關,是可以由中央目的事業主管機關去要求,這部分我們會來協助。 |
| 25 |
魯委員明哲:我希望你們對醫院這件事情也能跑起來,不要再慢慢走了,好不好?謝謝。 |
| 26 |
黃部長彥男:謝謝。 |
| 27 |
主席:謝謝。 |
| 28 |
請黃健豪委員。 |