公報發言紀錄
發言片段
lineno: 1641
| 發言片段: 0 |
|---|
| 邱委員顯智:(12時15分)主委好。主委,目前在兩岸局勢緊張之際,國科會底下各個國家實驗室主導各項重要國家科技發展計畫的資訊安全,我想請教主委,如果發生資安事件,應該要隱匿不報、守住這個秘密呢?還是要依規定陳報? |
| 發言片段: 1 |
| 主席(萬委員美玲代):請國科會吳主任委員說明。 |
| 發言片段: 2 |
| 吳主任委員政忠:委員好。資安部分我們有分級,一定的層級必須要馬上通報部會,就是它的上級。 |
| 發言片段: 3 |
| 邱委員顯智:主委,分幾級你清楚嗎? |
| 發言片段: 4 |
| 吳主任委員政忠:應該是4級。 |
| 發言片段: 5 |
| 邱委員顯智:這應該比「均非無疑」、「洵非的論」簡單。 |
| 發言片段: 6 |
| 吳主任委員政忠:4級。 |
| 發言片段: 7 |
| 邱委員顯智:你知道得很清楚。我最近接獲陳情,同步輻射中心有資安事件卻沒有按照資通安全管理法相關規定通報,關於這個陳情,我今年6月跟國科會索資,主要是本辦請國科會統計轄下相關單位的資料,因為我要瞭解這件事到底有沒有呈報。依據2021年1月到今年6月所有的資安通報紀錄,國科會告訴我,這些單位如果發生資安事件一定要通報,依規定在行政院的「國家資通安全通報應變網站」通報相關紀錄跟處理狀況。主委,沒錯嘛? |
| 發言片段: 8 |
| 吳主任委員政忠:是。 |
| 發言片段: 9 |
| 邱委員顯智:但是在公文檢附的統計資料當中,主委可以看到,第3項國家同步輻射研究中心裡面只有1件,今年1月4日回報發生一件1級的輕微資安事件,內容是同步輻射中心的電子發票系統受到攻擊,是這樣嗎?還是由主任說明,是不是只有這一件? |
| 發言片段: 10 |
| 吳主任委員政忠:我請主任說明。 |
| 發言片段: 11 |
| 主席:請國家同步輻射研究中心徐主任說明。 |
| 發言片段: 12 |
| 徐主任嘉鴻:委員好,是。 |
| 發言片段: 13 |
| 邱委員顯智:只有這一件嘛。那你看一下,我們接到了內部的資料顯示,當然不是只有這一件!這部分一件是8月10日、一件是8月16日,內容是同步輻射中心從去年1月到今年6月沒有登載在資安通報資料裡面的漏網之魚,其中一件是防毒軟體回報有某IP攻擊同仁的電腦;還有同仁反映防毒軟體不斷地跳出警示訊息,這是發生在8月10日跟8月16日。再來,9月10日又發生什麼事呢?9月10日還發生了疑似駭客工具入侵中心的電腦,這一起比8月的還嚴重。請問主委,這3起事件為什麼在通報紀錄上都完全看不到? |
| 發言片段: 14 |
| 吳主任委員政忠:委員,這是去年發生的? |
| 發言片段: 15 |
| 邱委員顯智:是,這是2021年的9月10日,另外這個是2021年8月10日及8月16日,但是你們給我資料裡面完全都沒有這些案件,然後主任剛剛也講說只有1月4日那一件,顯然不是啊!那到底怎麼回事?我現在就是要問到底怎麼回事? |
| 發言片段: 16 |
| 吳主任委員政忠:各個相關的下屬單位每個鐘頭都會有回報。 |
| 發言片段: 17 |
| 邱委員顯智:好,請你們等一下會後查清楚究竟怎麼回事。 |
| 發言片段: 18 |
| 吳主任委員政忠:可以,沒有問題。 |
| 發言片段: 19 |
| 邱委員顯智:主委,我再跟您請教,我剛剛有問你,你也有回答資安安全事件分成4級。那你看一下這張國家同步輻射研究中心的資訊安全事件通報單,裡面為什麼分成一般事件、重大事件跟0級事件,為什麼會這樣? |
| 一般事件處理辦法裡面為第一級、第二級,情形相對不嚴重,重大事件是第三級、第四級,情形是相對較嚴重的,問題來了,人家法規範裡是規定一、二、三、四級,你的通報單裡面卻是非屬「一般事件」及「重大事件」者為0級事件,請問這是什麼?這個0級事件是需要通報嗎?還是不需要通報?為什麼資安事件通報單裡會有0級事件? |
| 發言片段: 20 |
| 主席:請國科會資訊處薛處長說明。 |
| 發言片段: 21 |
| 薛處長大勇:有關於這個資安事件就像剛剛委員說的,一級事件就是屬於比較輕微的。 |
| 發言片段: 22 |
| 邱委員顯智:這沒有問題。 |
| 發言片段: 23 |
| 薛處長大勇:重大事件是屬於第三級、第四級事件,如果沒有造成重大損害,我們是定義為0級事件,當時行政院在資安處還有資通安全法裡有訂定這部分,所以我們就是依照規定,如果有發生這個事件,我們會在1小時之內向上面完成通報。 |
| 發言片段: 24 |
| 邱委員顯智:關於0級事件,我不知道是不是因為它被歸類為0級事件,所以就不通報,這可以查清楚,但是我必須要講的是,這個應變辦法裡面已經寫明了,「非核心業務之運作受影響或停頓,於可容忍中斷時間內回復正常運作,造成機關日常作業影響。」這是屬於第一級,所以我剛剛講的那3件,如果按照主任的定義的話,也不會是0級事件,對不對?更何況在法規裡沒有所謂可以不通報的0級事件,這到底是什麼?國家同步輻射研究中心卻至少有3件隱匿不報的情形。 |
| 國家同步輻射研究中心的光子源計畫是臺灣非常重要的科技建設,其實它從建置到運作也用了政府不少的預算,相關的研究成果更是國家非常重要的資產,但是這樣的單位其資安管制是如此的鬆散嗎?明明知道有問題了卻不回報,如果國家同步輻射研究中心是這樣的話,那其他的單位是不是也是這樣?這是我們心中覺得奇怪的地方,到底這個管理是怎麼做的?我具體的要求主委,為了維護國家資通安全,國科會應該去督促相關單位至少要落實通報,而不是守住這個秘密,這還得了,這是違法的。 |
| 國科會裡的單位,不管是國家災害防救科技中心、國家實驗研究院還是國家同步輻射研究中心遭受任何攻擊的時候,都應該要上報,通報標準要一致,而且要遵守應變辦法,徹查是否還存在所謂0級事件這種隱匿不報的情況,請問主委可以嗎? |
| 發言片段: 25 |
| 吳主任委員政忠:謝謝,這完全可以。 |
| 發言片段: 26 |
| 邱委員顯智:這可以嘛?好。 |
| 第二個,清查所有轄下的法人單位,除了這3個之外,從2021年到現在為止,清查相關單位及外部廠商所有的資安事件,並且針對今年1月4日的通報資料提供資安通報應變紀錄的相關報告,你只有一件嘛,至少要給大家瞭解,你說只有那一件,好,那一件到底發生什麼事,最起碼要讓人家可以理解。 |
| 第三個,剛剛講資安事件應該確實登載在行政院國家資通安全通報應變網站,這是法律規定的,針對這三個部分,請國科會於二週內提供給教育及文化委員會跟本辦公室一個書面報告,這樣可以嗎? |
| 發言片段: 27 |
| 吳主任委員政忠:我剛剛說因為我要出國,所以可以一個月嗎? |
| 發言片段: 28 |
| 邱委員顯智:好,一個月,沒關係。 |
| 發言片段: 29 |
| 吳主任委員政忠:這個應該是要做的,會依照規定處理。 |
| 發言片段: 30 |
| 邱委員顯智:應該是要正視這個問題。 |
| 發言片段: 31 |
| 吳主任委員政忠:瞭解。 |
| 發言片段: 32 |
| 邱委員顯智:最後30秒,我講一下。資通安全管理法第十九條跟第二十一條,其實大家都非常清楚這有處罰的規定,如果隱匿不報,當然會有法律效果,請國科會也要確實地去執法,不要得過且過,主委可以嗎? |
| 發言片段: 33 |
| 吳主任委員政忠:完全不會得過且過,我們會來嚴格要求。 |
| 發言片段: 34 |
| 邱委員顯智:好。 |
| 發言片段: 35 |
| 吳主任委員政忠:謝謝。 |
| 發言片段: 36 |
| 主席:請鄭委員正鈐發言。 |
公報詮釋資料
| page_end | 442 |
|---|---|
| meet_id | 委員會-10-6-22-7 |
| speakers | ["鄭正鈐","吳怡玎","王婉諭","黃國書","張廖萬堅","林宜瑾","何欣純","游毓蘭","范雲","林奕華","賴品妤","吳思瑤","洪申翰","萬美玲","邱顯智","陳秀寳","李德維","高金素梅","楊瓊瓔"] |
| page_start | 311 |
| meetingDate | ["2022-11-09"] |
| gazette_id | 11110502 |
| agenda_lcidc_ids | ["11110502_00004"] |
| meet_name | 立法院第10屆第6會期教育及文化委員會第7次全體委員會議紀錄 |
| content | 一、審查112年度中央政府總預算案有關國家科學及技術委員會與所屬單位預算案;二、審查112 年度中央政府總預算案有關行政院主管行政院國家科學技術發展基金附屬單位預算案;三、審查 112年度中央政府總預算案有關國家科學及技術委員會主管科學園區管理局作業基金附屬單位預 算案;四、審查112年度行政法人國家災害防救科技中心預算案 |
| agenda_id | 11110502_00003 |