李昆澤 @ 第11屆第4會期交通委員會第3次全體委員會議
時間:
0
| Start Time | End Time | Text |
|---|---|---|
| 00:00:03,233 | 00:00:08,205 | 謝謝侯孟楷召會 請下林部長還有治安署蔡署長林部長請 蔡署長請 |
| 00:00:12,811 | 00:00:21,518 | 部長好 資安是非常重要的當然資安是必須要經過專業的機構來驗證所以政府部門對於資安的驗證有相關的採購其實我們從這些採購的過程裡面以及實際的資安驗證我們可以發現到整個認證 |
| 00:00:35,290 | 00:00:48,137 | 不正確的現象是非常令人頭痛的第二個證書的失真因為你認證了不正確當然就會對於相關的證書會有失真的這樣一個問題那我們更發現到相關的顧問案 |
| 00:00:53,180 | 00:01:13,779 | 跟驗證案 它是捆綁在一起的這種求援兼裁判的這樣的一個亂象其實是造成了資安相當大的一個漏洞因為我們相關的資安驗證就會出現假的安全的一個保證而且我們這種跨部會的監管架構 |
| 00:01:15,060 | 00:01:31,538 | 也沒有辦法建立起來這當然會形成一個重大的一個資安的漏洞當然我們國家級的這一種啊資安的驗證機構啊就只有一家就是TAF那TAF啊他的驗證是比較專業而嚴謹的但是 |
| 00:01:34,841 | 00:01:46,472 | TAF他可以授權認證國內的資安機構可以去做相關的這些資安的驗證總共有幾家來說明一下是 |
| 00:01:48,235 | 00:01:58,846 | 報告那個詳細的家屬不同不過剛文提到就是說輔導跟驗證廠商之間的關係要怎麼把它確立非常的嚴謹就是說不會因為輔導國內TAF認證的這些資安機構是只有9家 |
| 00:02:06,173 | 00:02:19,958 | 因為國內的驗證的這些範圍跟機構非常的多那TAF人力當然是不足所以他有這些認證授權的資安的機構只有9家但是人力還是明顯的不足啦當然我們看到 |
| 00:02:21,799 | 00:02:38,135 | 數位部也通過這樣一個認可就是有這個國際認證的集合員的註冊機構就是IRCAIRCA有這個證照的人他就可以進行公部門的一個治安的一個認證那我在這邊要來提出相關的問題就是說 |
| 00:02:42,523 | 00:03:00,216 | 我們政府要求各部位要完成資安的認證跟驗證但是呢 品質是差不齊的 為什麼因為市面上有很多的驗證機構就是所謂的CB他向台灣的TAF取得授權 |
| 00:03:01,482 | 00:03:20,062 | 那這些他們就可以直接的對企業或者是機關進行審查並且核發ISO的相關的證書那當然這些應該是要很專業要很嚴謹的驗證機構會出現下面的問題第一個就是為了逃避規範 |
| 00:03:21,664 | 00:03:32,471 | 或者是為了要逃避TAF的監督所以有些驗證機構他發出的證書是沒有登錄的或者是說他是不受國際認證的一個相關的證書第二個 |
| 00:03:37,711 | 00:03:56,186 | 有些业者他会提供假认证机构所颁发的一个证书那相较于TF是非常的严谨他们会定期的访视 抽查还有见证这些相关的评鉴那其实我们看到国内的这样的一个状况 |
| 00:03:56,926 | 00:04:17,012 | 治安的保證是不足的部長你有什麼看法說明是 剛才那個委員問的這個幾個問題事實上都非常能理解這個對我們來講非常的重要因為這個認證 治安認證是一個對國家 對企業來講都很重要的事情它本身也是一個很大的一個產業 |
| 00:04:17,952 | 00:04:46,323 | 所以我们在政策上我们是希望说能在台湾扶植一个健康的认证的产业链就是认证本身是一个生意然后辅导也是一个生意但是我们要确定说认证跟辅导不能互相勾结然后也不能说为了要绑标故意在某一些的标案里面要求这个认证而实际上不需要认证部长我们这不只是国内的问题其实国际上充斥着各类型以及不同的 |
| 00:04:46,903 | 00:05:16,203 | 国际验证的机构那不同的国际治安证照也是一个严重的问题我们看到数位部治安署是否有能力去协助基层的这些采购承办人员就是说能够去分辨哪些是国内合法的检验机构验证机构哪些是国际认可的国内认可的这种国际治安的证明有没有办法来说明一下我们要去协助 |
| 00:05:17,563 | 00:05:42,711 | 是 謝謝委員我想有兩個點第一個點就是有關於剛剛講的這個ISO27001這個驗證的標準那我們基本上會要求驗證的機構是要TAFTAF所認可的這個認證過之後的驗證機構所以這個部分應該是可以follow這樣的規則這要去全面的解釋因為如果最根本的驗證機構 驗證人員他是不符合國內的標準而且不符合我們認可的國際標準 |
| 00:05:44,511 | 00:05:49,917 | 我們怎麼去確保這些資安驗證它是符合規範的沒有錯 所以我們現在認定是說這個有經過他所認證的這個驗證機構所發的這些資安的這個驗證的這些證書是合以我們要求規定這是我們會去要求接下來我們就討論到剛才提到顧問捆綁驗證的這樣一個問題 |
| 00:06:06,115 | 00:06:28,254 | 那當然我們為了確保資安驗證機構的公正性跟他的獨立性其實資安署在資通安全責任等級分級辦法一半事項就有明確的指出輔導案及驗證案之服務契約應該要分別招標但是我們看到在政府的採購網的資訊 |
| 00:06:30,600 | 00:06:45,195 | 其實你要去查一下政府的標案充斥著資安的輔導跟資安的驗證他是綁在一起的這種標案這怎麼去確保資安驗證的獨立性跟公正性呢那署長說明 |
| 00:06:45,976 | 00:07:08,848 | 是 謝謝委員長 的確就是我們當初就是要求這個公正性和獨立性 所以我們有這個要求要分別招標 那這個事實上我們之前也新聞給各機關就是照這個規定來辦理 那未來我們會在我們有一些相關的巡迴的研討會上面我們還會再宣導各個機關就是說在這個部分的這個相關的招標跟這個採購過程中要把它分開出來 |
| 00:07:10,222 | 00:07:33,674 | 另外一個嚴重的問題就是說我們基層人員他的教育跟培訓的不足那其實也襯托出我們中央監管的相關的一個缺乏監管的這樣一個議題因為假證證機構還有這些假證書他仍然還是有廣大的市場 為什麼 |
| 00:07:35,373 | 00:07:59,298 | 因為他還可以通過政府的審核這就莫名其妙了就顯示出基層的公務人員他不具備應該有的準確的識別證書證偽的能力另外資安就是國安就是說我們國內現在缺乏能夠跟國際接軌而且能夠監管各資安驗收機構驗證機構 |
| 00:08:03,063 | 00:08:19,675 | 而且能夠具體監管國際資安證照的這些機關我們還是缺乏這種能夠跟國際接軌相關的這些資安證照的這些機關是不是有這樣的問題我們都必須要明確的去檢討 |
| 00:08:22,130 | 00:08:34,922 | 目前TAF作為驗證資安驗證機構其實它就已經分身乏術了那我們必須要能夠直接能夠解決目前的認證驗證的亂象的單位這部分 |
| 00:08:38,335 | 00:09:05,293 | 蘇發部必須要跨部會跟其他單位來做研議來部長最後時間讓你簡單說明一下你未來的規劃非常贊同那個委員的這些想法那的確就是如同我們剛才講的那個我們要想辦法讓確定說台灣的這些認證機構還有輔導單位成為一個健康的產業生態而且我們一定要去把那些帷貌或者是在利用這種機構機制在 |
| 00:09:08,655 | 00:09:35,009 | 塗一些不法或者灰色地帶的利益的這些事情我們必須把它抓出來那我們這個地方我們會努力去查核謝謝部長跟署長都非常清楚資安非常重要但資安就是必須要資安的驗證那資安的驗證政府的採購過程裡面剛才跟部長相關的這些討論過程裡面我們發現到有很多的這種嚴重的問題這對資安的漏洞都是讓它慢慢的擴大這對國家的安全 |
| 00:09:35,729 | 00:09:47,079 | 以及人民的權益都是損傷非常大所以資安的驗證資安的驗證採購是非常重要是希望部長全力去做檢討跟改善是謝謝委員的督促謝謝 |
公報發言紀錄
發言片段
lineno: 696
| 發言片段: 0 |
|---|
| 李委員昆澤:(11時26分)謝謝洪孟楷召委,請林部長及資安署蔡署長。 |
| 發言片段: 1 |
| 主席:請林部長及蔡署長。 |
| 發言片段: 2 |
| 林部長宜敬:委員好。 |
| 發言片段: 3 |
| 李委員昆澤:部長好。資安是非常重要的,而且資安必須經過專業機構驗證,所以政府部門對於資安驗證有相關的採購。 |
| 發言片段: 4 |
| 林部長宜敬:是。 |
| 發言片段: 5 |
| 李委員昆澤:從這些採購的過程以及實際的資安驗證,我們可以發現整個認證不正確的現象的確非常令人頭痛。第二個是證書的失真,因為認證不正確,當然就會有相關證書失真的問題。我們更發現相關的顧問案與驗證案是綑綁在一起的,這種球員兼裁判的亂象其實會造成資安相當大的漏洞,因為相關的資安驗證就會出現假的安全保證,而且我們這種跨部會的監管架構也沒辦法建立起來,當然就會形成重大的資安漏洞。目前我們的國家級資安驗證機構只有一家,就是TAF,它的驗證比較專業嚴謹,但是TAF可以授權國內的資安機構做相關的資安驗證,總共有幾家?說明一下。 |
| 發言片段: 6 |
| 蔡署長福隆:報告委員,詳細的家數不同,不過,剛剛委員提到輔導與驗證廠商之間的關係,該如何確認能夠非常的嚴謹,不會因為…… |
| 發言片段: 7 |
| 李委員昆澤:國內TAF認證的資安機構只有9家,因為國內要驗證的範圍及機構非常多,TAF的人力當然不足,所以授權認證的資安機構一共有9家,但人力還是明顯的不足啦!當然我們看到數位部也通過這樣的認可,就是國際認證稽核員註冊機構(IRCA),在IRCA有證照的人就可以進行公部門的資安認證。我在此要提出相關的問題,政府要求各部會完成資安的認證及驗證,但品質卻是參差不齊的,為什麼?因為市面上有很多的驗證機構就是所謂的CB,他們在向臺灣的TAF取得授權後,就可以直接對企業或者是機關進行審查並且核發ISO的相關證書,這些應該要很專業、很嚴謹的驗證機構就會出現下面的問題:第一個是為了逃避規費或為了逃避TAF的監督,有些驗證機構發出的證書是沒有登錄或是不受國際認證的證書;第二個是有些業者會提供假認證機構所頒發的證書。相較之下,TAF則是非常的嚴謹,他們會定期的訪視、抽查還有鑑證這些相關的評鑑,我們看到國內這樣的一個狀況,其實資安的保證是不足的。部長對此有什麼看法?說明一下。 |
| 發言片段: 8 |
| 林部長宜敬:對剛才委員問的幾個問題,事實上我都非常能理解,這個對我們來講非常的重要,因為資安認證是對國家、對企業來講都很重要的一個事情,它本身也是一個很大的產業,所以我們在政策上是希望能在臺灣扶植一個健康的認證產業鏈,就是認證本身是一個生意,然後輔導也是一個生意,但是我們要確定認證跟輔導不能互相勾結,也不能為了要綁標,故意在某些標案裡面要求認證而事實上不需要認證。 |
| 發言片段: 9 |
| 李委員昆澤:部長,這不止是國內的問題,其實國際上也充斥著各類型以及不同的國際驗證機構,不同的國際資安證照也是一個嚴重的問題,數位部資安署是否有能力協助基層這些採購承辦人員分辨哪些是國內合法的檢驗機構、驗證機構,哪些是國際認可的、國內認可的國際資安證明?有沒有辦法來說明一下?我們要去協助啊! |
| 發言片段: 10 |
| 蔡署長福隆:謝謝委員,我想這有兩個點,第一個點就是有關於剛剛講的ISO 27001這個驗證的標準,基本上我們都要求驗證機構是要TAF認可的、認證過的驗證機構,所以這個部分應該是可以follow這樣的規則。 |
| 發言片段: 11 |
| 李委員昆澤:所以要去全面的檢視,因為如果最根本的驗證機構、驗證人員都是不符合國內標準且不符合我們認可的國際標準的,那我們怎麼確保這些資安驗證是符合規範的? |
| 發言片段: 12 |
| 蔡署長福隆:沒有錯,所以我們就認定必須是由TAF認證的驗證機構所發的這些資安驗證證書才是合於我們的規定,這是我們要求的。 |
| 發言片段: 13 |
| 李委員昆澤:接下來我們就要討論到剛才提到的顧問捆綁驗證的問題,為了確保資安驗證機構的公正性跟獨立性,其實資安署在「資通安全責任等級分級辦法應辦事項」有明確指出輔導案及驗證案之服務契約應該要分別招標,但是我們在政府採購網的資訊看到政府的標案充斥著資安的輔導跟資安的驗證綁在一起的這種標案,這樣怎麼去確保資安驗證的獨立性跟公正性呢?請署長說明一下。 |
| 發言片段: 14 |
| 蔡署長福隆:謝謝委員,的確,當初為了公正性跟獨立性,所以我們才有要分別招標這個要求,事實上我們之前也行文給各機關要照這個規定來辦理,未來我們還會在相關的巡迴研討會上再向各個機關進行宣導,就是說在這個部分相關的招標跟採購過程中要把它分開出來。 |
| 發言片段: 15 |
| 李委員昆澤:另外一個嚴重的問題就是我們基層人員的教育跟培訓不足,這其實也襯托出中央缺乏監管的議題,因為假認證機構及這些假證書仍然有廣大的市場,為什麼?因為它還可以通過政府的審核,這就莫名其妙了!這也顯示出基層的公務人員不具備該有的、準確的識別證書真偽的能力。 |
| 另外,資安就是國安,我們國內現在缺乏能夠跟國際接軌而且能夠監管各資安驗證機構並具體監管國際資安證照的機關,我們還是缺乏這種能夠跟國際接軌的相關資安證照機關,是不是有這樣的問題,我們都必須要明確的去檢討。目前TAF作為資安驗證機構其實已經是分身乏術了,我們必須要有能夠直接解決目前認證、驗證亂象的單位,在這部分,數發部必須要跨部會的跟其他單位進行研議。在本席發言的最後時間內,請部長簡單說明一下你未來的規劃。 |
| 發言片段: 16 |
| 林部長宜敬:非常贊同委員的這些想法,的確如同我們剛才講的,我們要想辦法確定臺灣的這些認證機構還有輔導單位成為一個健康的產業生態,而且一定要把那些偽冒或是利用這種機制以圖一些不法或者灰色地帶利益的事情抓出來,這些地方我們會努力去查核。 |
| 發言片段: 17 |
| 李委員昆澤:部長跟署長都非常清楚資安非常重要,但資安就是必須要有資安驗證,但在政府的採購過程裡面,剛才跟部長討論時我們發現到資安的驗證有很多嚴重的問題,這些資安的漏洞若是讓它慢慢的擴大,對國家安全以及人民權益的損傷都非常大,所以資安的驗證、資安的驗證採購是非常重要的,希望部長全力去做檢討跟改善。 |
| 發言片段: 18 |
| 林部長宜敬:是,謝謝委員的督促。謝謝! |
| 發言片段: 19 |
| 主席:謝謝。接下來請廖先祥委員質詢。 |
公報詮釋資料
| page_end | 310 |
|---|---|
| meet_id | 委員會-11-4-23-3 |
| speakers | ["洪孟楷","蔡其昌","許智傑","陳素月","徐富癸","魯明哲","何欣純","林俊憲","葛如鈞","李昆澤","廖先翔","陳雪生","邱若華","賴士葆","郭國文","羅美玲","黃健豪","楊瓊瓔","邱志偉","游顥","賴惠員","陳冠廷","林國成"] |
| page_start | 239 |
| meetingDate | ["2025-10-15"] |
| gazette_id | 1148401 |
| agenda_lcidc_ids | ["1148401_00006"] |
| meet_name | 立法院第11屆第4會期交通委員會第3次全體委員會議紀錄 |
| content | 邀請數位發展部部長林宜敬列席報告業務概況,並備質詢 |
| agenda_id | 1148401_00005 |