iVOD / 164174
本逐字稿內容由 AI 自動生成,可能包含錯誤、遺漏或誤譯之處。請使用者務必與原始影片音訊內容交叉比對,以確保資訊正確性。另可參考立法院日後釋出的正式公報以取得最終權威版本。
李昆澤 @ 第11屆第4會期交通委員會第3次全體委員會議
| Start Time | End Time | Text |
|---|---|---|
| 00:00:03,233 | 00:00:08,205 | 謝謝侯孟楷召會 請下林部長還有治安署蔡署長林部長請 蔡署長請 |
| 00:00:12,811 | 00:00:21,518 | 部長好 資安是非常重要的當然資安是必須要經過專業的機構來驗證所以政府部門對於資安的驗證有相關的採購其實我們從這些採購的過程裡面以及實際的資安驗證我們可以發現到整個認證 |
| 00:00:35,290 | 00:00:48,137 | 不正確的現象是非常令人頭痛的第二個證書的失真因為你認證了不正確當然就會對於相關的證書會有失真的這樣一個問題那我們更發現到相關的顧問案 |
| 00:00:53,180 | 00:01:13,779 | 跟驗證案 它是捆綁在一起的這種求援兼裁判的這樣的一個亂象其實是造成了資安相當大的一個漏洞因為我們相關的資安驗證就會出現假的安全的一個保證而且我們這種跨部會的監管架構 |
| 00:01:15,060 | 00:01:31,538 | 也沒有辦法建立起來這當然會形成一個重大的一個資安的漏洞當然我們國家級的這一種啊資安的驗證機構啊就只有一家就是TAF那TAF啊他的驗證是比較專業而嚴謹的但是 |
| 00:01:34,841 | 00:01:46,472 | TAF他可以授權認證國內的資安機構可以去做相關的這些資安的驗證總共有幾家來說明一下是 |
| 00:01:48,235 | 00:01:58,846 | 報告那個詳細的家屬不同不過剛文提到就是說輔導跟驗證廠商之間的關係要怎麼把它確立非常的嚴謹就是說不會因為輔導國內TAF認證的這些資安機構是只有9家 |
| 00:02:06,173 | 00:02:19,958 | 因為國內的驗證的這些範圍跟機構非常的多那TAF人力當然是不足所以他有這些認證授權的資安的機構只有9家但是人力還是明顯的不足啦當然我們看到 |
| 00:02:21,799 | 00:02:38,135 | 數位部也通過這樣一個認可就是有這個國際認證的集合員的註冊機構就是IRCAIRCA有這個證照的人他就可以進行公部門的一個治安的一個認證那我在這邊要來提出相關的問題就是說 |
| 00:02:42,523 | 00:03:00,216 | 我們政府要求各部位要完成資安的認證跟驗證但是呢 品質是差不齊的 為什麼因為市面上有很多的驗證機構就是所謂的CB他向台灣的TAF取得授權 |
| 00:03:01,482 | 00:03:20,062 | 那這些他們就可以直接的對企業或者是機關進行審查並且核發ISO的相關的證書那當然這些應該是要很專業要很嚴謹的驗證機構會出現下面的問題第一個就是為了逃避規範 |
| 00:03:21,664 | 00:03:32,471 | 或者是為了要逃避TAF的監督所以有些驗證機構他發出的證書是沒有登錄的或者是說他是不受國際認證的一個相關的證書第二個 |
| 00:03:37,711 | 00:03:56,186 | 有些业者他会提供假认证机构所颁发的一个证书那相较于TF是非常的严谨他们会定期的访视 抽查还有见证这些相关的评鉴那其实我们看到国内的这样的一个状况 |
| 00:03:56,926 | 00:04:17,012 | 治安的保證是不足的部長你有什麼看法說明是 剛才那個委員問的這個幾個問題事實上都非常能理解這個對我們來講非常的重要因為這個認證 治安認證是一個對國家 對企業來講都很重要的事情它本身也是一個很大的一個產業 |
| 00:04:17,952 | 00:04:46,323 | 所以我们在政策上我们是希望说能在台湾扶植一个健康的认证的产业链就是认证本身是一个生意然后辅导也是一个生意但是我们要确定说认证跟辅导不能互相勾结然后也不能说为了要绑标故意在某一些的标案里面要求这个认证而实际上不需要认证部长我们这不只是国内的问题其实国际上充斥着各类型以及不同的 |
| 00:04:46,903 | 00:05:16,203 | 国际验证的机构那不同的国际治安证照也是一个严重的问题我们看到数位部治安署是否有能力去协助基层的这些采购承办人员就是说能够去分辨哪些是国内合法的检验机构验证机构哪些是国际认可的国内认可的这种国际治安的证明有没有办法来说明一下我们要去协助 |
| 00:05:17,563 | 00:05:42,711 | 是 謝謝委員我想有兩個點第一個點就是有關於剛剛講的這個ISO27001這個驗證的標準那我們基本上會要求驗證的機構是要TAFTAF所認可的這個認證過之後的驗證機構所以這個部分應該是可以follow這樣的規則這要去全面的解釋因為如果最根本的驗證機構 驗證人員他是不符合國內的標準而且不符合我們認可的國際標準 |
| 00:05:44,511 | 00:05:49,917 | 我們怎麼去確保這些資安驗證它是符合規範的沒有錯 所以我們現在認定是說這個有經過他所認證的這個驗證機構所發的這些資安的這個驗證的這些證書是合以我們要求規定這是我們會去要求接下來我們就討論到剛才提到顧問捆綁驗證的這樣一個問題 |
| 00:06:06,115 | 00:06:28,254 | 那當然我們為了確保資安驗證機構的公正性跟他的獨立性其實資安署在資通安全責任等級分級辦法一半事項就有明確的指出輔導案及驗證案之服務契約應該要分別招標但是我們看到在政府的採購網的資訊 |
| 00:06:30,600 | 00:06:45,195 | 其實你要去查一下政府的標案充斥著資安的輔導跟資安的驗證他是綁在一起的這種標案這怎麼去確保資安驗證的獨立性跟公正性呢那署長說明 |
| 00:06:45,976 | 00:07:08,848 | 是 謝謝委員長 的確就是我們當初就是要求這個公正性和獨立性 所以我們有這個要求要分別招標 那這個事實上我們之前也新聞給各機關就是照這個規定來辦理 那未來我們會在我們有一些相關的巡迴的研討會上面我們還會再宣導各個機關就是說在這個部分的這個相關的招標跟這個採購過程中要把它分開出來 |
| 00:07:10,222 | 00:07:33,674 | 另外一個嚴重的問題就是說我們基層人員他的教育跟培訓的不足那其實也襯托出我們中央監管的相關的一個缺乏監管的這樣一個議題因為假證證機構還有這些假證書他仍然還是有廣大的市場 為什麼 |
| 00:07:35,373 | 00:07:59,298 | 因為他還可以通過政府的審核這就莫名其妙了就顯示出基層的公務人員他不具備應該有的準確的識別證書證偽的能力另外資安就是國安就是說我們國內現在缺乏能夠跟國際接軌而且能夠監管各資安驗收機構驗證機構 |
| 00:08:03,063 | 00:08:19,675 | 而且能夠具體監管國際資安證照的這些機關我們還是缺乏這種能夠跟國際接軌相關的這些資安證照的這些機關是不是有這樣的問題我們都必須要明確的去檢討 |
| 00:08:22,130 | 00:08:34,922 | 目前TAF作為驗證資安驗證機構其實它就已經分身乏術了那我們必須要能夠直接能夠解決目前的認證驗證的亂象的單位這部分 |
| 00:08:38,335 | 00:09:05,293 | 蘇發部必須要跨部會跟其他單位來做研議來部長最後時間讓你簡單說明一下你未來的規劃非常贊同那個委員的這些想法那的確就是如同我們剛才講的那個我們要想辦法讓確定說台灣的這些認證機構還有輔導單位成為一個健康的產業生態而且我們一定要去把那些帷貌或者是在利用這種機構機制在 |
| 00:09:08,655 | 00:09:35,009 | 塗一些不法或者灰色地帶的利益的這些事情我們必須把它抓出來那我們這個地方我們會努力去查核謝謝部長跟署長都非常清楚資安非常重要但資安就是必須要資安的驗證那資安的驗證政府的採購過程裡面剛才跟部長相關的這些討論過程裡面我們發現到有很多的這種嚴重的問題這對資安的漏洞都是讓它慢慢的擴大這對國家的安全 |
| 00:09:35,729 | 00:09:47,079 | 以及人民的權益都是損傷非常大所以資安的驗證資安的驗證採購是非常重要是希望部長全力去做檢討跟改善是謝謝委員的督促謝謝 |