公報發言紀錄
發言片段
lineno: 132
| 發言片段: 0 |
|---|
| 陳委員椒華:(9時26分)部長好。我們知道從數發部成立之後,到現在為止包括政府單位、民間單位,我們出現非常多個資外洩或是戶政資料外洩的情形,請問數發部要不要負責? |
| 發言片段: 1 |
| 主席:請數位部唐部長說明。 |
| 發言片段: 2 |
| 唐部長鳳:委員好。當然政府單位,尤其是大量的個資外洩,這幾乎一定是資安事件,這個當然是我們負責。民間的部分,自從資安院成立之後,資安院也變成不管是應變通報、行政調查等等的負責窗口。 |
| 發言片段: 3 |
| 陳委員椒華:要負責的話,如果造成這麼多個資嚴重外洩的問題,依法到底要負什麼責任呢? |
| 發言片段: 4 |
| 唐部長鳳:我先跟委員大致說明,待會有機會的話,再請院長補充。您想先問公務機關嗎?因為您講到公務機關的部分。 |
| 發言片段: 5 |
| 陳委員椒華:我的問題是,如果是數發部該負責,我們知道數發部也是去年才成立的,如果做得不好,沒有依法行政,我們今天也希望能夠釐清你們該負什麼責任。如果沒有做好,我希望後續要更努力。這一次的公務機關個資外洩問題,是不是數發部督導不力? |
| 發言片段: 6 |
| 唐部長鳳:謝謝委員給我這個機會說明,因為委員剛剛提到的是戶政資料,我就先以戶政資料來當做例子。因為我們知道我們有兩個責任,一個是對於內政部戶政司的資通系統要確保它的安全,不要被入侵等等,這一次像地址等等這些當然是內政部所蒐集的資料,但不是從內政部這邊洩漏,這個部分我們是有相當的把握,但是另外一部分是說我們應該也有…… |
| 發言片段: 7 |
| 陳委員椒華:不是內政部洩漏的?有證據嗎? |
| 發言片段: 8 |
| 唐部長鳳:有,就是我們在GSN(政府服務網)完全沒有…… |
| 發言片段: 9 |
| 陳委員椒華:那是怎麼洩漏的? |
| 發言片段: 10 |
| 唐部長鳳:我們目前的理解是它蒐集這些資料之後,它是一個資通責任A級的機關,有相當好的資安防護,我們也建立了T-Road,在A級機關之間安全交換的管道…… |
| 發言片段: 11 |
| 陳委員椒華:你簡單回答好嗎?怎麼洩漏的? |
| 發言片段: 12 |
| 唐部長鳳:但是如果不用這個交換的管道,而用比較不安全的管道,比方像光碟片等等不安全的管道,在此之前還是可以這樣子交換,就可能洩漏。 |
| 發言片段: 13 |
| 陳委員椒華:所以你是說它透過一些不安全的管道洩漏出去了? |
| 發言片段: 14 |
| 唐部長鳳:這在去年年底…… |
| 發言片段: 15 |
| 陳委員椒華:有具體證據嗎? |
| 發言片段: 16 |
| 唐部長鳳:這部分其實調查局已經發布了他們的調查結果,他們就是說…… |
| 發言片段: 17 |
| 陳委員椒華:可是依我的搜尋結果,並沒有具體證據顯示到底是怎麼洩漏的!沒關係,我先問一下,等一下你再回答。在數發部成立之前,所有公務機關的資安問題是由行政院國家資通安全會報負責,而數發部成立之後是該幕僚單位,而成立之前的這些人後來到了數發部資通署,是不是這樣? |
| 發言片段: 18 |
| 唐部長鳳:是。 |
| 發言片段: 19 |
| 陳委員椒華:請問幕僚單位是要做什麼?簡單回答一下。 |
| 發言片段: 20 |
| 唐部長鳳:請資安署長回答。 |
| 發言片段: 21 |
| 主席(許委員智傑):請數位部資安署謝署長說明。 |
| 發言片段: 22 |
| 謝署長翠娟:報告委員,行政院資通安全會報就是您看到的所有分組,包含資安、聯合防護,所有的分組都會聯合…… |
| 發言片段: 23 |
| 陳委員椒華:幕僚單位具體要做什麼? |
| 發言片段: 24 |
| 謝署長翠娟:第一個,我們要訂出討論的議題;第二個,我們要協助行政院做資安稽核。 |
| 發言片段: 25 |
| 陳委員椒華:所以稽核執行就是你們負責的,好,謝謝。稽核業務不管在數發部成立之前、之後都是你們負責的,依資通法第十三條規定,內政部應該要把他們的維護計畫或者改善計畫提出來,請問內政部現在已經提出來了嗎? |
| 發言片段: 26 |
| 謝署長翠娟:跟委員報告,他們已經交了,順便報告一下,其實這一次內政部的戶政系統並沒有被駭侵…… |
| 發言片段: 27 |
| 陳委員椒華:其他公家機關交了嗎? |
| 發言片段: 28 |
| 謝署長翠娟:也都交了。 |
| 發言片段: 29 |
| 陳委員椒華:所有的公家機關都要依資通安全管理法第十三條規定交安全維護計畫,你們每年都有稽核? |
| 發言片段: 30 |
| 謝署長翠娟:我們都要審,針對審完之後的應改進事項,我們都會要求他,然後也會稽核…… |
| 發言片段: 31 |
| 陳委員椒華:你們有沒有去稽核? |
| 發言片段: 32 |
| 謝署長翠娟:有,當然要! |
| 發言片段: 33 |
| 陳委員椒華:為什麼會出現內政部這樣子的大量個資外洩? |
| 發言片段: 34 |
| 謝署長翠娟:跟委員報告一下…… |
| 發言片段: 35 |
| 陳委員椒華:表示你們之前稽核不力,是不是? |
| 發言片段: 36 |
| 謝署長翠娟:委員,要跟您報告,我們用三個證據證明內政部這次不是被駭侵,第一個是我們在…… |
| 發言片段: 37 |
| 陳委員椒華:不管有沒有被駭侵,我的問題是你們到底有沒有稽核?稽核的問題出在哪裡?為什麼還會有大量資料外洩? |
| 發言片段: 38 |
| 唐部長鳳:這個問題我剛剛回答過了,內政部在去年年底就修改了戶政資料的申請辦法,所以以後就只能用安全的方式交換,不能夠再用光碟等等的作法。 |
| 發言片段: 39 |
| 陳委員椒華:所謂的改善就是訂了戶政資料管理辦法? |
| 發言片段: 40 |
| 唐部長鳳:修訂了。 |
| 發言片段: 41 |
| 陳委員椒華:依照資通法第七條規定,現在的主管機關就是行政院國家資通安全會報,對不對? |
| 發言片段: 42 |
| 唐部長鳳:對。 |
| 發言片段: 43 |
| 陳委員椒華:但幕僚是數發部,數發部有沒有依照資通法第七條訂定稽核的辦法? |
| 發言片段: 44 |
| 謝署長翠娟:是,當然,一定要有。 |
| 發言片段: 45 |
| 陳委員椒華:已經訂了嘛,之前有沒有訂? |
| 發言片段: 46 |
| 謝署長翠娟:也有。 |
| 發言片段: 47 |
| 陳委員椒華:之前有訂,那部長的意思是指之前訂得不完整,所以出現這些漏洞嗎?部長,是不是? |
| 發言片段: 48 |
| 唐部長鳳:應該說2018年的時候,當時資通安全管理的體系並沒有像現在這麼嚴密,那個時候資通安全管理法也正在討論或剛剛上路,這部分確實需要強化。 |
| 發言片段: 49 |
| 陳委員椒華:我請問部長,應該要強化這些實施辦法嘛,依照資通法第七條你還要針對特定非公務機關,所以國家資通安全研究院就是非公務機關,對不對? |
| 發言片段: 50 |
| 唐部長鳳:也包含私部門,好比像…… |
| 發言片段: 51 |
| 陳委員椒華:也有訂資安稽核的詳細實施辦法嗎? |
| 發言片段: 52 |
| 唐部長鳳:這部分還是先請署長說明。 |
| 發言片段: 53 |
| 陳委員椒華:你們針對財團法人跟行政法人也訂了嗎? |
| 發言片段: 54 |
| 謝署長翠娟:我們針對公務機關跟特定非公務機關都訂了,特定非公務機關是指關鍵基礎設施,而且…… |
| 發言片段: 55 |
| 陳委員椒華:財團法人也訂了嘛? |
| 發言片段: 56 |
| 謝署長翠娟:就是特定非公務機關。 |
| 發言片段: 57 |
| 陳委員椒華:財團法人也是特定非公務機關啊! |
| 發言片段: 58 |
| 唐部長鳳:政府捐助的財團法人。 |
| 發言片段: 59 |
| 謝署長翠娟:您是指資安研究院嗎? |
| 發言片段: 60 |
| 陳委員椒華:對呀,行政法人有沒有訂? |
| 發言片段: 61 |
| 謝署長翠娟:它也是必須被稽核的對象。 |
| 發言片段: 62 |
| 陳委員椒華:你們有沒有訂這個實施辦法? |
| 發言片段: 63 |
| 謝署長翠娟:我們的實施辦法是一個完整的、對全部的,不會特別針對每一個…… |
| 發言片段: 64 |
| 唐部長鳳:會沿用相同的實施辦法。 |
| 發言片段: 65 |
| 陳委員椒華:那你說有就好了嘛。 |
| 發言片段: 66 |
| 謝署長翠娟:是。 |
| 發言片段: 67 |
| 陳委員椒華:保證不會有漏洞嘛,會嗎? |
| 發言片段: 68 |
| 唐部長鳳:像委員剛剛提到這種透過不安全方式交換資料的漏洞,我們現在把它補上了。 |
| 發言片段: 69 |
| 陳委員椒華:我的意思是依法你們本來就要負責,不管是數發部成立前後,你們都要針對資安稽核訂定詳細的實施辦法。請問部長,針對剛剛提到的公務機關或者是財團法人,你們應該早就有辦法並希望以後不會出問題,你能保證嗎? |
| 發言片段: 70 |
| 唐部長鳳:是,就像剛剛講到不安全的資料交換部分,用T-Road以及接下來導入的零信任,這部分我們可以保證不會再發生同樣狀況。 |
| 發言片段: 71 |
| 陳委員椒華:可以保證嘛!所以公家機關的這些實施辦法、管理稽核辦法都訂了,然後每年都有提出資通安全維護計畫,是不是? |
| 發言片段: 72 |
| 唐部長鳳:對,就是說…… |
| 發言片段: 73 |
| 陳委員椒華:所有的公部門都提了嗎?請問所有公部門的下級所屬單位都有提這些計畫嗎? |
| 發言片段: 74 |
| 唐部長鳳:現在的狀況就是這些二級單位去稽核他們的三級單位。 |
| 發言片段: 75 |
| 陳委員椒華:他們的所屬都有提了嗎? |
| 發言片段: 76 |
| 唐部長鳳:我們這邊是確保他們有稽核下級單位的能力。 |
| 發言片段: 77 |
| 陳委員椒華:所以你們有稽核這一塊嗎?有沒有稽核這一塊? |
| 發言片段: 78 |
| 謝署長翠娟:跟委員報告,其實我們有稽核行政院的二級有沒有認真稽核它的三級跟四級。 |
| 發言片段: 79 |
| 陳委員椒華:要稽核這一塊喔!因為很多問題可能會出現在這裡、漏洞在這裡,部長可以承諾嗎? |
| 發言片段: 80 |
| 唐部長鳳:是,而且像委員剛剛特別關心的特定非公務機關等等,目前資安法沒有規定它們一定要設資安長或者是這些相關…… |
| 發言片段: 81 |
| 陳委員椒華:我是指要稽核嗎?要它們提維護計畫嗎? |
| 發言片段: 82 |
| 謝署長翠娟:有,我們有。 |
| 發言片段: 83 |
| 唐部長鳳:我們絕對會去…… |
| 發言片段: 84 |
| 陳委員椒華:你就回答有嘛。數發部的資安長是誰? |
| 發言片段: 85 |
| 唐部長鳳:是我們的闕河鳴次長。 |
| 發言片段: 86 |
| 陳委員椒華:再來,你們有稽核、有提維護計畫,請問資通安全研究院未來針對個資部分要怎麼做? |
| 發言片段: 87 |
| 唐部長鳳:請院長說明。 |
| 發言片段: 88 |
| 主席:請資安院何院長說明。 |
| 發言片段: 89 |
| 何院長全德:跟委員報告,第一個,我們配合目的事業主管機關,如果發生資安事件的話就進行行政調查,還有我們的專業技術人員會出具鑑識報告,分析原因並提出改善建議。 |
| 發言片段: 90 |
| 陳委員椒華:請問會訂稽核辦法嗎? |
| 發言片段: 91 |
| 何院長全德:關於稽核辦法剛剛謝署長已經報告…… |
| 發言片段: 92 |
| 陳委員椒華:但那個是稽核公家單位或所屬單位,你們未來會針對民間單位訂稽核辦法嗎? |
| 發言片段: 93 |
| 何院長全德:我們會有一個SOP。 |
| 發言片段: 94 |
| 陳委員椒華:請部長回答一下,是SOP還是稽核辦法?這不一樣喔! |
| 發言片段: 95 |
| 唐部長鳳:像您剛剛提到的租車公司等等,它現在確實不是資通安全法的納管對象,所以我們現在還不能說這是資安管理法的稽核辦法,但是我們會整理這些對公務機關稽核的SOP然後把它分享出去,不是只給我們而是給所有的,包含交通部、經濟部等這些機關執行。 |
| 發言片段: 96 |
| 陳委員椒華:最後關於我剛剛所講的,依照資通法各個公家單位要提的資安維護計畫或是你們的稽核報告可以上網嗎?部長,這些資料可以上網嗎? |
| 發言片段: 97 |
| 謝署長翠娟:報告委員,我們去掉各機關的隱密資訊之後,會將一個統整的發現上網。 |
| 發言片段: 98 |
| 唐部長鳳:會有一個綜整的發現。 |
| 發言片段: 99 |
| 陳委員椒華:我想大家非常重視資安,也希望後續不要再發生這麼多的資安洩漏問題,所以數發部的責任很大,希望你們後續的稽核情形都可以上網,好嗎? |
| 發言片段: 100 |
| 唐部長鳳:我們會把綜整的部分儘量在沒有營業秘密或者公務秘密的情況下上網,謝謝。 |
| 發言片段: 101 |
| 陳委員椒華:好,謝謝,謝謝主席。 |
| 發言片段: 102 |
| 主席:關於數位發展部的簡稱,部裡面覺得叫數位部會比較清楚,因為是數位發展,數位自然就會發展,所以叫數位部以後全國人民聽起來會比較直接,我們慢慢可以改口。 |
| 請陳委員歐珀發言。 |
公報詮釋資料
| page_end | 268 |
|---|---|
| meet_id | 委員會-10-7-23-2 |
| speakers | ["許智傑","洪孟楷","陳椒華","陳歐珀","邱顯智","何欣純","林俊憲","李昆澤","陳雪生","魯明哲","賴士葆","游毓蘭","邱臣遠","鄭天財Sra Kacaw","賴香伶","張其祿","趙正宇","傅崐萁","劉櫂豪","陳素月","吳欣盈","林楚茵","劉建國"] |
| page_start | 213 |
| meetingDate | ["2023-03-08"] |
| gazette_id | 1122501 |
| agenda_lcidc_ids | ["1122501_00005"] |
| meet_name | 立法院第10屆第7會期交通委員會第2次全體委員會議紀錄 |
| content | 邀請數位發展部部長唐鳳列席報告業務概況,並備質詢 |
| agenda_id | 1122501_00004 |