iVOD / 164174
李昆澤 @ 第11屆第4會期交通委員會第3次全體委員會議
| Index | Text |
|---|---|
| 0 | 李委員昆澤:(11時26分)謝謝洪孟楷召委,請林部長及資安署蔡署長。 |
| 1 | 主席:請林部長及蔡署長。 |
| 2 | 林部長宜敬:委員好。 |
| 3 | 李委員昆澤:部長好。資安是非常重要的,而且資安必須經過專業機構驗證,所以政府部門對於資安驗證有相關的採購。 |
| 4 | 林部長宜敬:是。 |
| 5 | 李委員昆澤:從這些採購的過程以及實際的資安驗證,我們可以發現整個認證不正確的現象的確非常令人頭痛。第二個是證書的失真,因為認證不正確,當然就會有相關證書失真的問題。我們更發現相關的顧問案與驗證案是綑綁在一起的,這種球員兼裁判的亂象其實會造成資安相當大的漏洞,因為相關的資安驗證就會出現假的安全保證,而且我們這種跨部會的監管架構也沒辦法建立起來,當然就會形成重大的資安漏洞。目前我們的國家級資安驗證機構只有一家,就是TAF,它的驗證比較專業嚴謹,但是TAF可以授權國內的資安機構做相關的資安驗證,總共有幾家?說明一下。 |
| 6 | 蔡署長福隆:報告委員,詳細的家數不同,不過,剛剛委員提到輔導與驗證廠商之間的關係,該如何確認能夠非常的嚴謹,不會因為…… |
| 7 | 李委員昆澤:國內TAF認證的資安機構只有9家,因為國內要驗證的範圍及機構非常多,TAF的人力當然不足,所以授權認證的資安機構一共有9家,但人力還是明顯的不足啦!當然我們看到數位部也通過這樣的認可,就是國際認證稽核員註冊機構(IRCA),在IRCA有證照的人就可以進行公部門的資安認證。我在此要提出相關的問題,政府要求各部會完成資安的認證及驗證,但品質卻是參差不齊的,為什麼?因為市面上有很多的驗證機構就是所謂的CB,他們在向臺灣的TAF取得授權後,就可以直接對企業或者是機關進行審查並且核發ISO的相關證書,這些應該要很專業、很嚴謹的驗證機構就會出現下面的問題:第一個是為了逃避規費或為了逃避TAF的監督,有些驗證機構發出的證書是沒有登錄或是不受國際認證的證書;第二個是有些業者會提供假認證機構所頒發的證書。相較之下,TAF則是非常的嚴謹,他們會定期的訪視、抽查還有鑑證這些相關的評鑑,我們看到國內這樣的一個狀況,其實資安的保證是不足的。部長對此有什麼看法?說明一下。 |
| 8 | 林部長宜敬:對剛才委員問的幾個問題,事實上我都非常能理解,這個對我們來講非常的重要,因為資安認證是對國家、對企業來講都很重要的一個事情,它本身也是一個很大的產業,所以我們在政策上是希望能在臺灣扶植一個健康的認證產業鏈,就是認證本身是一個生意,然後輔導也是一個生意,但是我們要確定認證跟輔導不能互相勾結,也不能為了要綁標,故意在某些標案裡面要求認證而事實上不需要認證。 |
| 9 | 李委員昆澤:部長,這不止是國內的問題,其實國際上也充斥著各類型以及不同的國際驗證機構,不同的國際資安證照也是一個嚴重的問題,數位部資安署是否有能力協助基層這些採購承辦人員分辨哪些是國內合法的檢驗機構、驗證機構,哪些是國際認可的、國內認可的國際資安證明?有沒有辦法來說明一下?我們要去協助啊! |
| 10 | 蔡署長福隆:謝謝委員,我想這有兩個點,第一個點就是有關於剛剛講的ISO 27001這個驗證的標準,基本上我們都要求驗證機構是要TAF認可的、認證過的驗證機構,所以這個部分應該是可以follow這樣的規則。 |
| 11 | 李委員昆澤:所以要去全面的檢視,因為如果最根本的驗證機構、驗證人員都是不符合國內標準且不符合我們認可的國際標準的,那我們怎麼確保這些資安驗證是符合規範的? |
| 12 | 蔡署長福隆:沒有錯,所以我們就認定必須是由TAF認證的驗證機構所發的這些資安驗證證書才是合於我們的規定,這是我們要求的。 |
| 13 | 李委員昆澤:接下來我們就要討論到剛才提到的顧問捆綁驗證的問題,為了確保資安驗證機構的公正性跟獨立性,其實資安署在「資通安全責任等級分級辦法應辦事項」有明確指出輔導案及驗證案之服務契約應該要分別招標,但是我們在政府採購網的資訊看到政府的標案充斥著資安的輔導跟資安的驗證綁在一起的這種標案,這樣怎麼去確保資安驗證的獨立性跟公正性呢?請署長說明一下。 |
| 14 | 蔡署長福隆:謝謝委員,的確,當初為了公正性跟獨立性,所以我們才有要分別招標這個要求,事實上我們之前也行文給各機關要照這個規定來辦理,未來我們還會在相關的巡迴研討會上再向各個機關進行宣導,就是說在這個部分相關的招標跟採購過程中要把它分開出來。 |
| 15 | 李委員昆澤:另外一個嚴重的問題就是我們基層人員的教育跟培訓不足,這其實也襯托出中央缺乏監管的議題,因為假認證機構及這些假證書仍然有廣大的市場,為什麼?因為它還可以通過政府的審核,這就莫名其妙了!這也顯示出基層的公務人員不具備該有的、準確的識別證書真偽的能力。 |
| 16 | 另外,資安就是國安,我們國內現在缺乏能夠跟國際接軌而且能夠監管各資安驗證機構並具體監管國際資安證照的機關,我們還是缺乏這種能夠跟國際接軌的相關資安證照機關,是不是有這樣的問題,我們都必須要明確的去檢討。目前TAF作為資安驗證機構其實已經是分身乏術了,我們必須要有能夠直接解決目前認證、驗證亂象的單位,在這部分,數發部必須要跨部會的跟其他單位進行研議。在本席發言的最後時間內,請部長簡單說明一下你未來的規劃。 |
| 17 | 林部長宜敬:非常贊同委員的這些想法,的確如同我們剛才講的,我們要想辦法確定臺灣的這些認證機構還有輔導單位成為一個健康的產業生態,而且一定要把那些偽冒或是利用這種機制以圖一些不法或者灰色地帶利益的事情抓出來,這些地方我們會努力去查核。 |
| 18 | 李委員昆澤:部長跟署長都非常清楚資安非常重要,但資安就是必須要有資安驗證,但在政府的採購過程裡面,剛才跟部長討論時我們發現到資安的驗證有很多嚴重的問題,這些資安的漏洞若是讓它慢慢的擴大,對國家安全以及人民權益的損傷都非常大,所以資安的驗證、資安的驗證採購是非常重要的,希望部長全力去做檢討跟改善。 |
| 19 | 林部長宜敬:是,謝謝委員的督促。謝謝! |
| 20 | 主席:謝謝。接下來請廖先祥委員質詢。 |
公報詮釋資料
| page_end | 310 |
|---|---|
| meet_id | 委員會-11-4-23-3 |
| speakers | ["洪孟楷","蔡其昌","許智傑","陳素月","徐富癸","魯明哲","何欣純","林俊憲","葛如鈞","李昆澤","廖先翔","陳雪生","邱若華","賴士葆","郭國文","羅美玲","黃健豪","楊瓊瓔","邱志偉","游顥","賴惠員","陳冠廷","林國成"] |
| page_start | 239 |
| meetingDate | ["2025-10-15"] |
| gazette_id | 1148401 |
| agenda_lcidc_ids | ["1148401_00006"] |
| meet_name | 立法院第11屆第4會期交通委員會第3次全體委員會議紀錄 |
| content | 邀請數位發展部部長林宜敬列席報告業務概況,並備質詢 |
| agenda_id | 1148401_00005 |