公報發言紀錄
發言片段
lineno: 787
| 發言片段: 0 |
|---|
| 林委員楚茵:(11時12分)謝謝主席,主席有請莊翠雲莊部長,還有財政資訊中心的張文熙張主任。 |
| 發言片段: 1 |
| 主席:兩位請。 |
| 發言片段: 2 |
| 莊部長翠雲:委員好。 |
| 發言片段: 3 |
| 林委員楚茵:部長好。我想今天的專案報告主要是關於資安疑慮的部分,包括我們的稅務機關跟公股行庫怎麼樣來加強相關的防護,剛剛其實一些委員也都有問到。本席找了一些內部相關的原則,財政部的資安防護措施,成立資安健檢跟數位鑑識團隊會每年定期來辦理相關的財稅弱點掃描跟滲透測試,還有資安健診,如果財政部是希望逐年來做審定的話,但是根據財資中心的資通安全稽核原則,是另外一個部分,等於說財政部希望是每年定期,但是財政部有關於資安的部分是委由財資中心來處理對嗎?部長。 |
| 發言片段: 4 |
| 莊部長翠雲:是。 |
| 發言片段: 5 |
| 林委員楚茵:但是我們基本上還是有一些審定的原則,包括比如說3年內你都沒有被進行過資通安全稽核的,這是第一個,可能容易被抽到;第二個是2年內如果你有發生一些資安案件,你可能要來進行;再來就是沒有完成資安責任等級的辦理事項就會需要,所以原則上會變成是3年才稽核一次嗎?張主任。 |
| 發言片段: 6 |
| 張主任文熙:報告委員,主要是因為資安健檢的人力跟時程,沒有辦法每年每個機關都完成健檢,所以我們就按照列選的原則去挑選,最重要的先做,比如說近2年有發生資安事件的會優先,如果這幾年都表現良好,那我們可能採取書面的審查。 |
| 發言片段: 7 |
| 林委員楚茵:所以在人力的部分,現在整體來做資通安全稽核的人力一共是多少?然後他們的量能,比如以一年來說的話,大概能夠完成多少公股行庫或者是我們各個區所謂的稅務單位?以你們現有的人力跟你一年能夠處理的量能大概是多少? |
| 發言片段: 8 |
| 張主任文熙:跟委員報告,我們現有正式的資安人員是4位。 |
| 發言片段: 9 |
| 林委員楚茵:只有4位? |
| 發言片段: 10 |
| 張主任文熙:對,其他的都是兼職的成員。 |
| 發言片段: 11 |
| 林委員楚茵:幾位? |
| 發言片段: 12 |
| 張主任文熙:大概是21位左右。 |
| 發言片段: 13 |
| 林委員楚茵:所以這樣加起來就是25位,然後你們一年的量能可以查多少的單位或是多少的部門? |
| 發言片段: 14 |
| 張主任文熙:弱點掃描這部分大概是22個機關,那健診是在稽核的前一個禮拜我們會做健診的作業,通常一次健診大概要花一個禮拜。因為這些兼職人員平常還有其他的行政業務,所以目前他們安排的量能是很滿的,我們除了財政部自己的健診團隊去健診之外,另外我們在各機關都有委外的稽核作業。 |
| 發言片段: 15 |
| 林委員楚茵:所以我可以有一個數字嗎?因為財政部當然是希望每年要來做健診,但是顯然以現有的人力,比如就是專職4位然後兼職25位的話,要做到每年是不可能的,最多就是這3年內被抽一次,或是2年內有發生事情。所以我這樣講吧!一年內財資中心本身能夠健診或者是弱點掃描幾個單位?資安稽核的部分。 |
| 發言片段: 16 |
| 張主任文熙:健診大概是3個到5個。 |
| 發言片段: 17 |
| 林委員楚茵:3個到5個?然後弱點掃描? |
| 發言片段: 18 |
| 張主任文熙:弱點掃描幾乎會全部做,因為弱點掃描有範圍,總共是22個機關構,包括公股的臺、土、輸、菸酒公司等等…… |
| 發言片段: 19 |
| 林委員楚茵:好,本席會這樣問是因為我們的資安定期稽核到底有沒有確實呢?我特別製作了這個表,也是跟財資中心你們拿的資料,現在其實只有關務署跟土銀有達到定期稽核的標準,為什麼我抓近5年?是因為我們從108年之後開始專注於資安稽核的部分,然後除了關務署是A等級之外,土銀是有機會在我們所定的標準,3年以內有機會被做到一次之外,其實包括像高雄國稅局,這5年來都沒有,然後你自己財資中心,等一下這個我也會問,就是財資中心稽核別人,那誰稽核你們呢?再來,包括臺銀人壽、臺銀的綜合證券、臺銀的保經等等,等於是說其實我們希望達到,但是卻沒有辦法實質地做,可能連3年都沒辦法,5年內都會有人沒有被稽核到,像這個部分是因為人力不足,還是認為有其他方式來做填補就夠了? |
| 發言片段: 20 |
| 張主任文熙:我想我們目前填補的方式就是有委外稽核的部分,各機關會選英國標準協會或其他的稽核機關來進行委外的稽核,來補充內部稽核的不足,一方面是由外部的機關來稽核,角度會比較不一樣,如果同一年有兩組以上的稽核人員進駐的時候,對機關來講其實壓力也比較大。像高雄國稅局這個案例是比較特殊的,因為一方面它之前沒有資安事件,另外就是剛好在排定的時候是碰到疫情,疫情的時間就有比較多顧慮,有人力等等的…… |
| 發言片段: 21 |
| 林委員楚茵:所以最近會補上嗎? |
| 發言片段: 22 |
| 張主任文熙:會。 |
| 發言片段: 23 |
| 林委員楚茵:因為過去都沒有,這5年如果發生什麼事情的時候…… |
| 發言片段: 24 |
| 張主任文熙:會優先。 |
| 發言片段: 25 |
| 林委員楚茵:滲透都已成啊! |
| 發言片段: 26 |
| 張主任文熙:所以會優先。 |
| 發言片段: 27 |
| 林委員楚茵:5年要布建、滲透都會完成。我列出這個表只是來提醒,就是確實你們從1年已經退到變3年,3年之後又有一些單位是這5年來完全都沒有進行所謂資安定期的稽核,問題很可能就在這樣的過程當中出現資安的危機。另外,部長,如果財資中心是負責來稽核大家,但是他們卻在5年內沒有被稽核到,那這個部分到底是歸誰呢?本席去瞭解的時候,發現是屬於數發部要來進行所謂更高層級的資安核定,如果是這樣的話,財政部跟數發部跟資安中心在彼此財資中心的稽核部分有跟上數發部的腳步嗎?數發部到底有沒有針對這些二級或獨立機關的稽核是2年來一次?以本席所瞭解是這5年都沒有,財資中心前一陣子還有所謂電子發票服務平台登錄系統出現了一些危機,所以這到底是沒有稽核到?還是沒有配合到?因為很有可能問題就出在這裡啊! |
| 發言片段: 28 |
| 張主任文熙:是,報告委員,財資中心的稽核,外部稽核是行政院委由數發部稽核我們…… |
| 發言片段: 29 |
| 林委員楚茵:對。 |
| 發言片段: 30 |
| 張主任文熙:最近5年內已經接受過三次稽核,另外除了…… |
| 發言片段: 31 |
| 林委員楚茵:你們最近已經有接受過三次? |
| 發言片段: 32 |
| 張主任文熙:對。 |
| 發言片段: 33 |
| 林委員楚茵:時間點? |
| 發言片段: 34 |
| 張主任文熙:107年、111年還有109年都有接受過行政院的稽核。 |
| 發言片段: 35 |
| 林委員楚茵:結果呢? |
| 發言片段: 36 |
| 張主任文熙:結果都還不錯。 |
| 發言片段: 37 |
| 林委員楚茵:都有符合標準嗎? |
| 發言片段: 38 |
| 張主任文熙:是,是,都有符合標準。電子發票部分,因為這主要是跟使用者的習慣有關係,所以在這個稽核的部分,沒有辦法透過系統直接判讀,這部分我們在未來稽核技術上,會增加對使用者習慣的考核來補充、彌補,除了外部稽核,我們中心內部同仁也會稽核,每年會自己稽核兩次,我們自己有資安科,會稽核像國稅、地稅、發票這些,一年至少稽核兩次,同時我們每年也會請第三方稽核公司,像中心是請英國標準協會來幫我們做整體的檢核。 |
| 發言片段: 39 |
| 林委員楚茵:好,因為稽核的部分是財資中心要負責,你也說到了會有人力部分的問題,但就像本席整理出來的這個表,我想要更明確瞭解為什麼會有一些單位是5年內完全沒有做到稽核?希望你們給我一份報告,其實我希望的重點是,資訊安全、資通安全部分是現在最要面臨的問題,希望不要變成好像是作文比賽,或者好像是交差了事,我相信財資中心有一定的專業,因為時間有限,希望會後給我一個更清楚的報告,好嗎? |
| 發言片段: 40 |
| 張主任文熙:是,是。 |
| 發言片段: 41 |
| 林委員楚茵:好,謝謝。 |
| 發言片段: 42 |
| 莊部長翠雲:謝謝委員。 |
| 發言片段: 43 |
| 主席:好,謝謝,各位請回。 |
| 接著請羅明才委員。 |
公報詮釋資料
| page_end | 338 |
|---|---|
| meet_id | 委員會-10-8-20-18 |
| speakers | ["費鴻泰","林德福","吳秉叡","賴士葆","沈發惠","郭國文","李貴敏","鍾佳濱","高嘉瑜","林楚茵","羅明才","張其祿","陳椒華"] |
| page_start | 289 |
| meetingDate | ["2023-12-04"] |
| gazette_id | 1129405 |
| agenda_lcidc_ids | ["1129405_00009"] |
| meet_name | 立法院第10屆第8會期財政委員會第18次全體委員會議紀錄 |
| content | 邀請財政部莊部長翠雲就「資安疑慮頻傳,如何強化財稅機關及公股行庫資安防護與區域聯防」 進行專題報告,並備質詢 |
| agenda_id | 1129405_00008 |