李昆澤 @ 第11屆第1會期交通委員會第2次全體委員會議
時間:
0
| Start Time | End Time | Text |
|---|---|---|
| 00:00:02,849 | 00:00:05,054 | 謝謝主席陳淑月委員.現在請部長唐鳳部長 |
| 00:00:09,212 | 00:00:33,765 | 政委好部長好我想數位部國人對於基於眾望當然民眾希望打債要有具體的一個成果第二就是對於公司部門的直通安全民眾的直通安全要有基本的一個保障另外對於數位產業的一個發展也要有給予正面的一個協助那我們來看 |
| 00:00:34,926 | 00:00:55,877 | 台灣是全球資安威脅的一個重點區域那資安就是等於國安國家的安全的一個重點數位部希望說我們國人希望說數位部能夠改善我們國家的公司部門的資通安全當然 |
| 00:00:56,929 | 00:01:17,229 | 一句啊資通安全管理法我們有分層管理的機制包含內部的集合啦第二方的集合啦或者是導入資訊安全管理系統完成公正的第三方驗證那資安署也有重要的工作就是完成他的集合包括公務機關 |
| 00:01:18,570 | 00:01:18,790 | ﹚指摘 |
| 00:01:48,371 | 00:02:15,548 | 之安事件的件數來看我們公務機關跟非公務機關的資通安全其實它的改善還是有相當大的空間我們來看之安的事件的數量沒有看到減少了也都是有增加尤其比較嚴重的像二級的事件跟三級的事件有增加的趨勢當然部長也知道二級就是非核心的資訊 |
| 00:02:17,770 | 00:02:37,366 | 業務他相關的這些遭到洩漏、篡改或是停頓等等那三級就是一般公務或是機敏資料遭到洩漏、篡改、停頓等等那這些部分請部長簡單說明一下我們現在目前的直通安全的狀況 |
| 00:02:39,107 | 00:02:57,315 | 我們看到這個建築增加有很大一部分原因是因為我們採取鼓勵通報及時聯防這樣子的政策在此之前就是2021年或以前他的資安專職人員他不一定有意識到發生事情意識到之後他並不一定有那麼強的保證說他通報之後立刻會有人來幫他進行應酬 |
| 00:02:58,075 | 00:03:23,711 | 所以隨著我們應變儲備的能力以及偵測的能力變強本來就會事件的數量變多這是第一個那第二個是說我們現在透過像剛剛提到的巡迴的集合等等的方式我們發現就是攻擊的那個數量以及攻擊的手段的就是先進的程度也不斷的在增加所以其實我們是花了非常非常多的力氣才能夠讓大家看到說最近包含選舉前等等我媽是有其他的一些發現的問題 |
| 00:03:25,692 | 00:03:41,791 | 一照治安法,治安署他並沒有對所有的公務機關有集合的權限。那我們所屬的這些公務機關的治安資料有很多待改善的事項是沒有被治安署掌握的,對不對? |
| 00:03:42,872 | 00:04:07,742 | 我們絕大部分都是集合一定會管考剛剛您如果提到的是像鄉鎮市議會或等等這些這些我們在新版的資安法裡面有做處理那這個草案應該這幾天就會送到現在另外一個問題就是我們一般的非公務機關資安法它沒有去統一要求我們所有的非公務機關的資安相關的資料的這些義務嘛那我們非公務機關的資安維護計畫 |
| 00:04:10,043 | 00:04:16,932 | 朝受的治安事件還是沒有辦法有效的掌握這也是我們面對的問題那沒有治安法的一個規範 |
| 00:04:19,243 | 00:04:44,604 | 據如何集合資安資料掌握資安事件這也是數位部未來要處理的一個重要議題來說明一下謝謝當然他如果是非公務機關但是被判成關鍵的基礎設施或資訊系統的話那這部分是在資安法裡面那委員剛剛提到的有些外面大家很多人在用他是上市歸公司那這樣的話現在他也要有資安事件要發表重大訊息要設資安長等等 |
| 00:04:44,924 | 00:05:03,671 | 那如果又沒有上市櫃的就是普通的這些產業的話 那我們現在也透過像TW3CC現在在資安院提供他們24小時每週7天這樣子的即時應儲的服務 那看署長要不要﹖部長我還是具體的建議 我們現在有的機制還是要強化的 我們各單位的內部集合 |
| 00:05:04,631 | 00:05:26,845 | 現在是一年兩次我是希望能不能調高頻率至少每季一次看有沒有這樣的一個調整的方式另外就是要持續的擴大辦理針對現有的公務機關以及非公務機關它的集合頻率跟次數而且要分為定期跟不定期來做集合來簡單說明一下 |
| 00:05:28,533 | 00:05:53,269 | 當然我們現在有一個重要政策就是去導入所謂的端點政策系統意思就是說不是只有快集合的時候我們才來看他的這個狀態而是他隨時會回報他實際的狀態那除此之外剛剛委員提的也很好就是像社交工程的演練啊或者我們請紅隊來實際上打打看啊等等這個事情也不會告訴他們到底是用什麼手法來做所以這些我們都有在做那是不是資安署也多說明一下資安署說明一下 |
| 00:05:53,971 | 00:06:21,776 | 好的謝謝委員其實我們除了資安集合之外我們還有從外部就是從外部去看網路上面的流量去監測是不是有害侵第二個我們也會做攻防就是說他自己說他做得很好但是我們會攻防看看他是不是有沒有問題就是從外面是不是攻得進去所以其實不只做資安集合那另外跟委員報告就是其實我們偵測發現網路上的攻擊真的是變多所以當他有偵 |
| 00:06:22,816 | 00:06:45,322 | 我們現在是導入那個隨時的監測機制所以他們每隨時有問題我們都是及時要求我還是最後具體的建議除了現行機制的強化我們對治安法的修正我們看到現在非公務機關他不是治安法的一個規範的一個對象也沒有主管機關去要求他們的治安防護這個要持續嚴厲來跟業界溝通 |
| 00:06:47,382 | 00:07:14,252 | 以公司的規模或者是他們涉及的業務為基準.逐步地將非公務機關納入這個資安法的一個範疇.那我們數位部現在有一些修正草案.資安署具有定期或不定期.集合公務機關以及特定會公務機關的權限.這個部門也要加強跟行政院來做協調.完成行政院的這樣一個公司送到立法院來沒問題 謝謝 |
公報發言紀錄
發言片段
lineno: 287
| 發言片段: 0 |
|---|
| 李委員昆澤:(10時15分)謝謝主席陳素月委員,現在請部長。 |
| 發言片段: 1 |
| 主席:請唐鳳部長。 |
| 發言片段: 2 |
| 唐部長鳳:召委好。 |
| 發言片段: 3 |
| 李委員昆澤:部長好。我想國人對數位部寄予厚望,當然民眾希望打詐要有一個具體的成果;第二,就是對於公私部門的資通安全、民眾的資通安全要有一個基本的保障,另外對於數位產業的發展也要給予一個正面的協助。我們來看,臺灣是全球資安威脅的一個重點區域,資安就等於國安,是國家安全的一個重點,國人希望數位部能夠改善我們國家公私部門的資通安全。當然,依據資通安全管理法,我們有分層管理的機制,包含內部的稽核、第二方的稽核或者是導入資訊安全管理系統,完成公正的第三方驗證。資安署也有重要的工作,就是完成他的稽核,包括公務機關、非公務機關等相關的稽核工作。 |
| 我們來看資安署的稽核成果,包括行政院所屬的公務機關當然都有很多待改善的事項,或者是特定非公務機關也有將近417個待改善的事項,行政院所屬公務機關則有702個待改善的事項,從稽核的成果以及資安事件的件數來看,公務機關跟非公務機關的資通安全其實還是有相當大的改善空間。從資安事件的數量來看,我們沒有看到減少,也都是有增加,尤其比較嚴重的像二級的事件跟三級的事件有增加的趨勢。當然部長也知道二級就是非核心的資訊業務等相關的部分遭到洩漏、竄改或者是停頓等等;那三級就是一般公務或是機敏資料遭到洩漏、竄改、停頓等等。這部分請部長簡單說明一下,我們目前資通安全的狀況。 |
| 發言片段: 4 |
| 唐部長鳳:是。我們看到這個件數的增加,有很大一部分的原因是因為我們採取鼓勵通報、即時聯防的政策,在此之前就是2021年或以前,資安專職人員不一定有意識到發生事情,意識到之後他並不一定有那麼強的保證說,他通報了之後立刻會有人來幫他進行應處,所以隨著我們應變處理的能力以及偵測的能力變強,本來事件的數量就會變多,這是第一個。第二個是我們現在透過像剛剛提到的巡迴稽核等等的方式,我們發現攻擊的數量以及攻擊手段的先進程度也不斷的在增加,所以其實我們是花了非常非常多的力氣,才能夠讓大家看到最近,包含選舉前等等那幾波大概都有擋下來。 |
| 發言片段: 5 |
| 李委員昆澤:好,部長,我們還是有發現一些其他的問題,依照資安法,資安署並沒有對所有的公務機關有稽核的權限,我們所屬的公務機關的資安資料有很多待改善的事項是沒有被資安署掌握的,對不對? |
| 發言片段: 6 |
| 唐部長鳳:我們絕大部分稽核都一定會管考,剛剛您如果提到的是像鄉鎮市議會或等等這些,這些我們在新版的資安法裡面有做處理,這個草案應該這幾天就會送到行政院。 |
| 發言片段: 7 |
| 李委員昆澤:好,另外一個問題就是一般的非公務機關,資安法沒有統一要求所有非公務機關的資安相關資料的義務,那我們非公務機關的資安維護計畫、遭受的資安事件,還是沒有辦法有效的掌握,這也是我們面對的問題。沒有資安法的規範,如何稽核資安資料、掌握資安事件,這也是數位部未來要處理的一個重要議題,請說明一下。 |
| 發言片段: 8 |
| 唐部長鳳:謝謝,當然它如果是非公務機關,但是被判成關鍵基礎設施或資訊系統的話,這部分是在資安法裡面。委員剛剛提到的,有些外面很多人在用,它是上市櫃公司,這樣的話,現在它也要有資安事項、發表重大訊息、要設資安長等等。如果又沒有上市櫃的,就是普通的這些產業的話,我們現在也透過像TWCERT/CC在資安院提供他們24小時、每週7天的即時應處服務,看署長要不要…… |
| 發言片段: 9 |
| 李委員昆澤:部長,我還是具體建議我們現在有的機制還是要強化啦,各單位的內部稽核現在是一年兩次,我是希望能不能調高頻率,至少每季一次,看能不能有這樣的調整方式。另外就是要持續擴大辦理針對現有的公務機關以及非公務機關的稽核頻率跟次數,而且要分為定期跟不定期來做稽核,請簡單說明一下。 |
| 發言片段: 10 |
| 唐部長鳳:當然我們現在有個重要政策就是去導入所謂的端點偵測系統,意思就是說不是只有快稽核的時候我們才來看它的狀態,而是它隨時會回報它實際的狀態。除此之外,剛剛委員提的也很好,就是像社交工程的演練或者是我們請紅隊來實際上打打看等等,這個事前也不會告訴他們到底是用什麼手法來做,其實這些我們都有在做,是不是資安署也多說明一下? |
| 發言片段: 11 |
| 李委員昆澤:請資安署說明一下。 |
| 發言片段: 12 |
| 謝署長翠娟:好的,謝謝委員。其實除了資安稽核之外,我們還有從外部去看網路上面的流量去監測是不是有駭侵。第二個,我們也會做攻防,就是說它自己說它做得很好,但是我們會攻防看看它有沒有問題,就是從外面是不是攻得進去,所以其實不只做資安稽核。 |
| 另外跟委員報告,其實我們偵測發現網路上的攻擊真的有變多,我們現在是導入隨時的監測機制,所以他們隨時有問題我們都是及時要求他們改善。 |
| 發言片段: 13 |
| 李委員昆澤:時間也到了,最後我還是提出具體的建議,除了現行機制的強化,對於資安法的修正,我們看到現在非公務機關,它不是資安法規範的對象,也沒有主管機關去要求他們的資安防護,這個要持續研議來跟業界溝通,以公司的規模或者是他們涉及的業務為基準,逐步將非公務機關納入資安法的範疇。數位部現在有一些修正草案,資安署具有定期或不定期稽核公務機關以及特定非公務機關的權限,這部分也要加強跟行政院的協調,完成行政院的共識並送到立法院來。 |
| 發言片段: 14 |
| 唐部長鳳:沒問題,謝謝。 |
| 發言片段: 15 |
| 主席(李委員昆澤):現在請陳素月委員發言。 |
公報詮釋資料
| page_end | 412 |
|---|---|
| meet_id | 委員會-11-1-23-2 |
| speakers | ["李昆澤","徐富癸","林國成","許智傑","葛如鈞","黃健豪","魯明哲","陳素月","林俊憲","邱若華","蔡其昌","廖先翔","謝衣鳯","游顥","林沛祥","何欣純","徐巧芯","羅智強","李坤城","陳冠廷","黃珊珊","翁曉玲","洪孟楷","劉建國","楊瓊瓔","牛煦庭"] |
| page_start | 349 |
| meetingDate | ["2024-03-07"] |
| gazette_id | 1130901 |
| agenda_lcidc_ids | ["1130901_00006"] |
| meet_name | 立法院第11屆第1會期交通委員會第2次全體委員會議紀錄 |
| content | 一、邀請數位發展部部長唐鳳列席報告業務概況,並備質詢;二、邀請數位發展部部長唐鳳就 「112年度出國預算辦理成效及113年度預計效益」進行專題報告,並備質詢 |
| agenda_id | 1130901_00005 |