公報發言紀錄
發言片段
lineno: 734
| 發言片段: 0 |
|---|
| 賴委員香伶:(11時47分)部長好。你知道什麼叫「象卡來」嗎?「象卡來」是台語還是國語? |
| 發言片段: 1 |
| 主席:請數位部唐部長說明。 |
| 發言片段: 2 |
| 唐部長鳳:就是Whoscall。 |
| 發言片段: 3 |
| 賴委員香伶:你把它翻成英文。 |
| 發言片段: 4 |
| 唐部長鳳:是,誰打來。 |
| 發言片段: 5 |
| 賴委員香伶:你昨天有回應這是詐騙電話或是一些不明的電話打來之後,透過一個遮障式的app來做處理,請教我們自己有沒有開發如「象卡來」的國家隊app? |
| 發言片段: 6 |
| 唐部長鳳:剛剛有好幾個委員質詢到,這個app不一定是裝在手機上,我們也可以跟NCC聯絡協助裝在電信業者那邊,這樣就不用特別裝app。 |
| 發言片段: 7 |
| 賴委員香伶:所以你未來有考慮跟電信業者像遠傳、中華電信等合作,可以這樣子操作嗎?這是不是你的政策方向?你想要這樣推動? |
| 發言片段: 8 |
| 唐部長鳳:因為電信業的監理是NCC的權限,我們的政策方向是充分跟NCC溝通我們這邊的需求。 |
| 發言片段: 9 |
| 賴委員香伶:但如果NCC不理你的話,你就沒轍了,所以你還是要逼NCC,你可以逼它嗎? |
| 發言片段: 10 |
| 唐部長鳳:它是獨立機關,我們會全力跟它合作。 |
| 發言片段: 11 |
| 賴委員香伶:你說你是掌管資安外洩或是各種個資的最高指導官。 |
| 發言片段: 12 |
| 唐部長鳳:確實如同委員講的,在上游能夠解決的話,下游大家就能節省很多力氣。 |
| 發言片段: 13 |
| 賴委員香伶:我在這裡建議唐部長直接建請NCC,把你這個方案或方法列入到它管轄電信業者的溝通協調事項裡,因為您這樣講,看起來這是一招可以防止不明電話一個很好又便宜的工具,因為我看到你的「象卡來」,我自己手機今天就裝了,結果它好像是要付費,幾天之內免費而幾天內是60元,年費大概是600元,既然你已經宣傳了,「象卡來」這家公司有可能給臺灣比較優惠的費用嗎? |
| 發言片段: 14 |
| 唐部長鳳:首先,我是拿它舉例,不是專門幫它宣傳,我在節目上也有提到趨勢科技、防詐達人等等,這是第一個;第二個,如果它是安裝在電信業者那邊的話,其實跟手機上app的關係就不大了。 |
| 發言片段: 15 |
| 賴委員香伶:就是手機資費去做協調嗎? |
| 發言片段: 16 |
| 唐部長鳳:就是手機就會有這個功能。 |
| 發言片段: 17 |
| 賴委員香伶:數位部新成立,要解決的問題很多,國人對你們最大的期待就是在所謂個資外洩或資安防護的部分是不是數位部重要的主責業務? |
| 發言片段: 18 |
| 唐部長鳳:資安防護當然是,大規模的個資外洩大概都跟資通系統有關,除了個資之外,資安也會同時啟動。 |
| 發言片段: 19 |
| 賴委員香伶:資安韌性這部分,我看你的PPT第21頁有三大方向,所以有關關鍵基礎建設的治理作為,是不是比較在你剛剛講的大型防護規劃裡面? |
| 發言片段: 20 |
| 唐部長鳳:就是在我們國家社會運作非常重要的那八個領域。 |
| 發言片段: 21 |
| 賴委員香伶:就是公共領域的部分。 |
| 第二個是有關資通安全發展方案裡面,有導入公務機關要有零信任網路身分鑑別機制,這個已經在做了嗎? |
| 發言片段: 22 |
| 唐部長鳳:沒錯,現在數位部的一部二署一院都有導入這樣子的機制。 |
| 發言片段: 23 |
| 賴委員香伶:好,請教數位部自己本身在資安管理的責任分級裡面算哪一級?是A plus嗎? |
| 發言片段: 24 |
| 唐部長鳳:數位部本身當然A。 |
| 發言片段: 25 |
| 賴委員香伶:數位部是A?我看你們要A plus,絕對不能有任何出錯。 |
| 發言片段: 26 |
| 唐部長鳳:資安院也是A,只有產業署好像是C,因為沒有全國個資。 |
| 發言片段: 27 |
| 賴委員香伶:下一個問題,我們如果要針對資安的管理法或者責任分級來處理A、B、C等級的一些應辦事項,這個法裡面寫得滿清楚,就是A級機關在兩年內要取得CNS 27001或ISO 27001等級的管理標準,所以現在普查起來是不是所有的A級單位都已經達到這個認證標準? |
| 發言片段: 28 |
| 唐部長鳳:當然是,但是我知道委員接下來要問的下一題。 |
| 發言片段: 29 |
| 賴委員香伶:你說我要問什麼? |
| 發言片段: 30 |
| 唐部長鳳:就是如果A級單位交換他的個資到資安分級比較低的單位…… |
| 發言片段: 31 |
| 賴委員香伶:C級或者B級。 |
| 發言片段: 32 |
| 唐部長鳳:C級或甚至更低,這時候這樣子的個資就沒有那麼高程度的防護。 |
| 發言片段: 33 |
| 賴委員香伶:那未來我們要怎麼樣防護?因為像以前我的機關就業服務處有上百萬勞工求職的個資,勞動局是B級機關的話,其實嚴格講,資安人員的專業度C級是要最高的,結果它只是一個三級的附屬單位。在資安規格裡面,你有沒有可能考慮在公務機關分級標準的性質或者評選裡面做調整?這是一個很實務的問題。 |
| 發言片段: 34 |
| 唐部長鳳:謝謝委員給我機會說明。當時會分成A、B、C級,其中有一個想法就是向上集中,也就是說,如果C級機關要自建系統,不如去讓他的督導B級或A級機關幫他建,他用這個系統就好了,因為系統與系統之間,A級機關之間,其實是有安全的T-road這個通道介接,這樣就比較不會出問題。 |
| 發言片段: 35 |
| 賴委員香伶:所以上級集中管理才是比較好的。 |
| 發言片段: 36 |
| 唐部長鳳:對。 |
| 發言片段: 37 |
| 賴委員香伶:不是讓下級機關一天到晚編預算、一天到晚委外做資訊維護,然後完全沒有辦法防護到資安水平,我的看法是這樣。 |
| 發言片段: 38 |
| 唐部長鳳:同意。 |
| 發言片段: 39 |
| 賴委員香伶:既然你們是督導單位,不管中央政府或地方政府,如果是B、C級的資安人員或資安防護的作法,可不可能朝剛剛講的向上集中管理、向上的通道之間形成比較高的防護?是這個意思嘛? |
| 發言片段: 40 |
| 唐部長鳳:對,我想資安法通過以來一直都是這樣子。 |
| 發言片段: 41 |
| 賴委員香伶:好,我們回歸到現在辦理資安滲透測試這部分,前幾天好像部長在節目上有談到滲透測試,細節內容我當然沒有很瞭解,但是過去我們的機關也常常要進行滲透防護的演練,現在有紅隊跟藍隊,你是不是有提到一個「紫隊」的概念? |
| 發言片段: 42 |
| 唐部長鳳:對,紫隊就是紅隊跟藍隊充分合作,紅隊的攻擊方式,藍隊也有掌握,而藍隊能夠用攻擊者的思路來想事情。 |
| 發言片段: 43 |
| 賴委員香伶:那這樣紫隊的角色是什麼? |
| 發言片段: 44 |
| 唐部長鳳:紫隊在講的就是紅藍結合的這件事。 |
| 發言片段: 45 |
| 賴委員香伶:所以它如果說要有一個data去核實,現在是不是並沒有紫隊的概念? |
| 發言片段: 46 |
| 唐部長鳳:有這樣子的一個訓練平臺,像資安院就有研發讓藍隊進入模擬紅隊正在打進來的那個場合的訓練平臺,類似我們的術科考試,我自己也有上機考。 |
| 發言片段: 47 |
| 賴委員香伶:現在我們的政府部門,以A單位的你們為例,你們自己每年會做弱點掃描滲透測試,那會以coach的角色。做紅、藍之外,剛剛講的那套演練、校練嗎? |
| 發言片段: 48 |
| 唐部長鳳:我們自己的資安專責人員,包含資安院的人員,都有經過這個術科,包含我自己在內。 |
| 發言片段: 49 |
| 賴委員香伶:術科是指? |
| 發言片段: 50 |
| 唐部長鳳:就是實際進入這個系統,模擬紅隊正在打進來,然後我們要及時反應,我有去考試考了30分鐘。 |
| 發言片段: 51 |
| 賴委員香伶:以這些考試人才的專業度來講,他們已經可以做一部分預防未來個資被攻擊或者外洩問題的防護到什麼樣的標準? |
| 發言片段: 52 |
| 唐部長鳳:會希望我們的藍隊瞭解到紅隊進攻的想法…… |
| 發言片段: 53 |
| 賴委員香伶:瞭解思維是什麼。 |
| 發言片段: 54 |
| 唐部長鳳:以及他可以及時去聯繫、應變通報藍隊要進入一個聯防的狀態,這是兩個目的。 |
| 發言片段: 55 |
| 賴委員香伶:現在法制規範上好像並沒有要走紫隊的要求,所以這個標準辦法的訂定是你們數位部的職掌嗎? |
| 發言片段: 56 |
| 唐部長鳳:我們一直有一個想法,我們也不斷地跟考試院討論,資安不只是資訊人員裡面的一些工作內容…… |
| 發言片段: 57 |
| 賴委員香伶:是資安人員的考科? |
| 發言片段: 58 |
| 唐部長鳳:而是資安變成自己的類科,這個類科裡面就會納入像這樣子的術科考試,但是還是由考試院來做,不是我們幫考試院考,而是我們設計怎麼考。 |
| 發言片段: 59 |
| 賴委員香伶:早上我有質詢考試院劉秘書長還有人事總處的副人事長,他們也提到你們已經提出這個需求,我希望他一個月內提出紫隊的資安人員到底是哪一些專業證類的專長,其職類、分析的職掌跟薪給都要一併考慮,否則我認為這麼專業的人士可能都到民間去,也未必要來政府部門。 |
| 既然部長是我們首屆,也是首任的數位部部長,責任重大,能夠將剛剛講到的新作法導入公部門。因為公部門最大的問題就是沒有預算科目給它,它就辦不了事,沒有辦法做超越現在法制上給它的。如果這部分實驗性那麼強,而且你們幾位都考過這個術科,怎麼樣再訓練一批現在政府部門裡面的資安人員,即使他們沒有到那個水平,但他要有…… |
| 發言片段: 60 |
| 唐部長鳳:就是現有的資訊人員變成藍隊,再變成有紫隊的能力。 |
| 發言片段: 61 |
| 賴委員香伶:是,一定要這樣,不然我覺得很可惜,以前我們在地方政府最缺的就是資訊人員,請你們多給他們鼓勵。 |
| 發言片段: 62 |
| 唐部長鳳:是,謝謝委員。 |
| 發言片段: 63 |
| 主席:請鄭委員正鈐發言。(不在場)鄭委員不在場。 |
| 請張委員其祿發言。 |
公報詮釋資料
| page_end | 268 |
|---|---|
| meet_id | 委員會-10-7-23-2 |
| speakers | ["許智傑","洪孟楷","陳椒華","陳歐珀","邱顯智","何欣純","林俊憲","李昆澤","陳雪生","魯明哲","賴士葆","游毓蘭","邱臣遠","鄭天財Sra Kacaw","賴香伶","張其祿","趙正宇","傅崐萁","劉櫂豪","陳素月","吳欣盈","林楚茵","劉建國"] |
| page_start | 213 |
| meetingDate | ["2023-03-08"] |
| gazette_id | 1122501 |
| agenda_lcidc_ids | ["1122501_00005"] |
| meet_name | 立法院第10屆第7會期交通委員會第2次全體委員會議紀錄 |
| content | 邀請數位發展部部長唐鳳列席報告業務概況,並備質詢 |
| agenda_id | 1122501_00004 |