-
部長、次長、各位首長與主管,我們開始進行第 16 次的部務會議,首先還是報告今天的出席狀況,今天資安署謝署長請假,由林副署長代表出席。本次線上參加的人員有闕次、李次、數產署呂署長、資安署林副署長、民主司莊司長、秘書處陳處長、資訊處吳處長,這幾位都是在線上參加,其他都是實體參加。
-
第二,第 15 次的部務會議逐字稿已經本部的官網上公開,如果各位發覺必須要做修正的話,還是可以稍微調整。現在請示是否開始第 16 次部務會議的議程。
-
第一個報告案是「本部重要指(裁)示事項」的追蹤列管情形,請數位策略司。
-
謝謝,看大家有沒有要更新或者是詢問的?現場看起來沒有,線上有沒有發言?
-
跟部、次長報告,有關於剛剛所提到的中長程計畫的部分,因為 1 月 22 日署裡已經有跟部長報告公建與社發,報告完之後整體資料近期也會開始報到院,謝謝。
-
謝謝,還有沒有要補充的?
-
(與會者皆無意見)
-
如果沒有的話,就是按策略司所提的管考修正建議,我們就往下,謝謝。
-
本部第二個報告案為「數據公益運作指引與隱私強化技術應用指引」研辦情形,請多元司說明。
-
司長有要補充嗎?
-
這兩個指引在今天會議報告之後,我們就會簽陳發布。行政院數位政策法制協調機制新增資料創新法制分組,多元司是幕僚,我們也會就這一部指引來做介紹。隨著兩個指引的發布,大家也知道徒法不足以自行,我們必須要有應用案例,所以未來我們會透過補助計畫和資安院合作,包含 PETs 也會持續推動導入的應用情境並進行推廣。
-
今年將導入 PETs 的應用情境案例,目前尚在評估階段,比方像地區型的醫療是不是有可能使用?或者是和金管會合作推動隱私強化技術,都還只是在研擬商談的階段,還沒有定案,但是未來這個部分還是會持續評估多元化的應用情境導入不同技術,也會對導入的結果來驗測看效果如何。
-
另外在推廣的部分,我們在今年規劃與 InnoServe 合作,開設隱私強化技術的組別,期望技術往下紮根,希望透過在 InnoServe 開一個 track,鼓勵大專院校的師生們組隊來參加競賽活動。
-
數據公益運作的部分,我們感謝產業署已經有了運動數據平台當作案例,未來的部分,我們也會利用行政院資料創新法制分組的部分,鼓勵部會開始試作數據公益運作的應用環境。以上是我們在處理這兩部指引後續的做法。
-
另外資料創新促進條例的法制研究,草案框架的內容也一直內部討論當中,時機成熟的時候再跟部、次長報告,以上是我的補充,謝謝。
-
謝謝,因為是法制的部分,葉次有沒有要補充?
-
(次長無補充)
-
《資料創新促進條例》的立法時程,一定要跟個資會的期程,包含新個資法的修法密切配合。
-
我們之所以先走指引,主要的原因也是因為我們預期未來的個資會,在個資處理、跨境傳輸上都會有比較高的要求,所以先發展這種防禦性技術,確保即使要求提高了,本來在做的事情還是可以在不侵犯隱私的前提底下做。
-
第二,之前好像也有跟財政部協調過,如果要 top down 來推數據公益的話,財政部可能可以同意各部會提供規費減免的誘因,這個也是在接下來分組討論,還是要到最上面去討論?
-
我們會在行政院資料創新法制分組當中設一個議題。
-
所以下次就會討論這個事情?
-
-
這樣節奏上是差不多。看大家有沒有詢問或者是補充的?
-
(與會者皆無意見)
-
如果都沒有的話,麻煩請儘速對外公告,尤其數據公益的部分,因為涉及到個人權益,也盡可能把英文的部分,也就是雙語的部分,雖然只是指引層級,因為國際關注,很快我們就要跟歐盟談這一件事,APEC 也要談這一件事,所以英文版盡可能在中文頒布之後也可以跟上。其他的部分我想在院的資料創新法制分組來跟進後續相關的政策,包含立法的部分,謝謝。
-
第三個報告案是資安院本年度接辦的重要工作「TWCERT/CC 交接情形與未來規劃」。
-
謝謝,非常完整。
-
謝謝偉哲主任報告。部長、各位主管,我再做幾個補充,部長知道 TWCERT/CC 1990 年代從陳年興教授開始做,經歷了幾個不同的階段與法人,去年也謝謝部長給我們這樣的機會來幫大家服務,我給同仁的指令是「服務不中斷,品質再提升」,過去沒有 24 小時,今後會是 24 小時的服務,我們本來對政府部門就有這樣的服務機制,所以除了資源統合以外,剛剛孫主任也提到如何情資共享,這個是第一個要補充的,希望資安院接手營運以後,可以在過去的基礎上,比以前做得更好。
-
第二,主要是在民間企業的部分,因為現在並沒有法源要求企業發生資安事件要通報,所以要不要通報,民間企業的想法是,既然受害為何要通報,為何要讓跟我有競爭關係的企業知道,反而趕快把漏洞補好,因此這個部分看要用什麼樣的方式來增加企業的通報誘因,要讓他們知道如果來通報除了可以接收這邊的資安訊息以外,企業通報以後也會得到資安院提供的專業諮詢或行政協助等服務處,這是我們資安院將來要努力的地方。
-
除了加強向企業宣導以外,我昨天也跟部長報告,將來我們會優先來跟金管會、證交所等機關合作,尤其是上市上櫃公司,雖然沒有強制要求通報的法源,但是可以經由行政指導及行政協處等方式來推動,例如,如果行政指導把加入 TWCERT/CC、通報當作公司資安治理的一部分,企業慢慢就有通報的誘因,再輔以未來可能包括資安院這邊做了很多跟企業有關的服務,比方像將來的資安人員職能訓練,有加入會員通報的,我們優先輔導等,這一個部分我們會進一步處理。
-
從國際間可以看得到,像「FIRST」,去年台積電也加入變成會員了,顯然在國際間資安事件訊息的互通、分享是非常重要的。國際間對臺灣資安實務第一個感到有興趣的是幾年前的第一銀行受駭遭提款的案例,全世界大家都想知道臺灣怎麼那麼厲害可以快速抓到犯罪集團,所以配合整個未來國際的情勢,國際的參與、協助,有些可以互相配合的部分,這部分資安院也會透過國合治理中心,加強國際合作的管道,我們會策略性的加以擴大資安情資的分享。
-
國內企業的部分,資安應處對大型企業並不是太大的問題,比較需要協助的是中小企業跟微型企業,我們會配合今年要推動的 google.org NICS 台灣資安計畫,針對中小企業及微型企業提供觀念宣導、諮詢及輔導等服務,讓他們能夠知道在 TWCERT/CC 通報以後,可以獲得諮詢服務及協助。
-
另外要跟部長報告的是,畢竟資安事件還是有地緣性,所以除了資安院以外,我們也會透過目前跟我們有簽學術合作的學研機構,例如逢甲大學與未來的中興大學、中山大學等,有些地域性的資安事件,我們可以與適地化的學研機構就近協理,目前本院正與中興大學洽談學術合作,中興大學承接教育部資安認證計畫多年,他們培養很多資安人才,將來我們提供給各個中小企業除了 24 小時通報及諮詢服務外,也可以就近很快協助危機處理跟後續改善的工作。
-
另外,也跟部長報告,資安院本身是 A 級機關,做任何事情都必需優先考量資安,我們所有的系統上線前,同仁都必須要按照程序檢測、滲透測試,將來也會規劃紅隊演練,通報系統是很關鍵性的系統,至少安全已經有一定的水準,不過系統已經運作 20 年了,這個系統先後經過不同廠商的維護,我們目前暫時接收原來的系統維運,安全強化以後慢慢重整。
-
我上次也跟部長報告,我們已經累積了 20 多年協助政府機關資安事件通報應變的經驗,大概有 2、30 年,如果再把企業加進來,除了由下而上的通報以外,我們也可以由上而下通報,如果我們收到某一個網通設備或系統的資安情資,除了向政府機關通知外,我們也可以主動告知有使用這個網通設備或系統的單位,然後配合 CVE 查處的 90 天作業時間,協助公私部門應處,所以將來所有政府也好、民間也好,資安的資訊就可以互通及交流。
-
我要特別謝謝鄭司長、牛司長、蔡司長、潘主秘協助本院順利接手,也要感謝主計處的協助,讓我們在 1 月 1 日順利接手營運。
-
謝謝,真的很謝謝大家,還有沒有補充?
-
(與會者皆無意見)
-
剛剛提到 top down 的好處是一件事,都說是趨吉避凶,其實避凶比較有用,所以剛剛提到的獨立個資會是接下來很大的一個誘因。因為一方面個資會當然會在很多情況下,如果是上市櫃公司當有個資事件的時候,沒有辦法再逃過這些連帶責任,比較難再主張說是境外資料處理者的責任等等,就是慣用的那些說法之後可能會變得不好用,這個時候比較起來,加入 TWCERT/CC 跟隱私強化技術的成本,看起來是一個零頭。
-
我想跟金管會的協作也要放這一點進去,當然什麼都要發重訊,但是機密性卻會被破壞,又是個資的情況之下,市場反應是會特別大的,我想這部分也包含隱私強化技術指引頒布之後,可以透過會員、電子報等等,先投資一點點在這邊增加資訊的機密性跟可用性,後面可以省很多力氣,也就是預防勝於治療,這個部分大家可以統合在一起思考。
-
我們就洽悉,再往下。
-
接著是本部「一般機密文書線上簽核試辦計畫」的目前執行情形,請秘書處報告,資訊處補充。
-
(報告案四)
-
謝謝。有沒有要接續報告或者是補充或者是詢問?
-
請問資訊處有要在系統面上,補充需要大家注意,或者是後續有要加強的部分嗎?
-
資訊處補充報告,部長、次長、主秘各位主管大家好,資訊處部分剛才秘書處有提到一般公文密件線簽,系統作業目前仍有些問題待改善部份,資訊處目前已跟承商洽談好修正需求,尤其是針對分會及代理人制度,還有行動自然人憑證的運用方面,我們已經談好,也已經寫好 RFP,擴增的委外案刻正陳核中,預計 2 月可以完成簽約,6 月會如期完成行動自然人憑證線簽上線及系統改善,以上報告。
-
主秘有沒有補充?
-
(主秘沒有補充)
-
剛剛說會平均節省一點多天,裡面有半天是我節省的,因為我大概是每天晚上 9 點左右,把線上公文都簽掉,但如果是走紙本的,我只能隔天 9 點進辦公室才可以簽,所以這中間一定差 12 個小時。如果司署長到次長、到我的三個半天加起來,大概就是一天半,除了同仁不用跑新光、延平兩個地方之外,我覺得對我們的公文處理效率,是真的滿有幫助。
-
我想這個流程還在持續調整,如果有任何的改善建議,都很歡迎跟秘書處、資訊處來提供,剛剛秘書處同仁也有提到歸檔文件、雙重複核跟作業上還有一些不習慣的地方,也麻煩比較留意。
-
我想我們的目的是要讓使用者體驗盡可能趨近非密件公文,最好是在操作的時候,當然會看到密件這個字,但是不會因為這樣子讓我們在外或者是出國的時候沒有辦法處理密件這一方面的工作,這當然還有滿多的技術配套事情要做,比較中長程也有放在公建裡面了,這個部分歡迎大家隨時提出建議。
-
如果大家沒有其他的意見,那就洽悉。
-
第五個報告案是本部及所屬機關導入共用經費結報系統的情形,請主計處報告。
-
謝謝,單位有沒有要補充?
-
剛剛有提到的資訊處、秘書處有需要補充說明的嗎?或者是完全都能夠配合?
-
資訊處報告,有關資訊處需要配合系統開發部分,已經跟承商談好需求,預計在 3 月就完成系統開發,4 月進行測試,以備主總在 5 月的時候可以互相測試。
-
另外補充報告,在經費結報系統推動中,資安署跟產業署有些作業項目沒有參與,但是實務上因為系統是共構,我們開發的系統可以涵蓋資安署跟產業署,兩署如果想要増加已上線作業項目,隨時都可以提出需求,以上報告。
-
秘書處的部分都可以配合。
-
如果沒有別的要補充的話,我們就非常謝謝主計處,真的很辛苦。目前看起來除了跨平台的登入元件還要麻煩資安院幫忙,當然資訊處也幫了很多忙,其他的部分大概都是我們的廠商覺得在能力範圍裡可以處理的。
-
我們在進行這一方面的測試跟規劃過程中,我們也找到很多我們覺得可能可以改善的部分,但是主總部分可能是比較後面改善的事項。這些事項很感謝不只我剛剛提到民主司的公建,也有包含數產署的公建,都有包含一些相關的項目可以協助。當然我們公建建置給民間的廠商或者是跨國介接使用時,主總訂有明文的法律規範或者是法規規範如何銜接,這確實滿需要磨合,這部分之前主計處有提出來,我們也有統計到底需要哪一些部分,但不管是主計或者是統計跟公建介接相關的人力需求,近日就會送到人總,至少在接下來的四年裡面,人總可以支持我們。
-
理論上這一個案子跟上一個案子都是一種公共建設,未來的擴散,經費這個系統是比較靠主計系統,上一個案子線上簽核要靠什麼機制推動?
-
今天部務會議原本要討論公共程式指引,但是好像延到下一次,沒關係,我先簡單說一下。
-
剛剛所提到有一些是元件型的,但是各個部會、機關,甚至地方政府要做經費結報,或者是做密件線簽,不可能繞過電子簽章相關的某些特定應用,單一登入相關的一些特定應用,既有卡式的,也有手機上自然人憑證的時候,這兩個互相備援等等,這個部分不管是找哪個系統整合商,到最後都要寫的東西,民主司會針對這一些優先當作公共程式。
-
至於其他的部分看民主司,如果在線上的話,要不要補充一下?
-
民主司補充說明,推動上會以共通的功能元件為優先,並以數位部所開發出來的套件、元件或者是程式為示範案例,如果這些程式元件的撰寫是符合 Public Code 標準,包含其授權方式跟各項描述都符合 Standard for Public Code 的規定,我們就會優先建議其開放到 code.gov.tw 公共程式平臺。
-
節省其他廠商開發成本,但並不是一下子就把整套系統 Public Code 出來。
-
所以線上密簽的系統,有沒有打算整個系統技術移轉給需要的部會?
-
這個主秘有一些策略。我們要全部向上集中嗎?
-
我說明一下,本部試辦一般公文書密件的簽核是經過報行政院綜合業務處的討論,因此確認有試辦計畫。我們之前也曾經跟綜合業務處討論過後續推廣的情形,綜合業務處對這一塊的看法是等我們試辦完之後,他們才會評估是不是放寬所謂規範,所以他們目前並沒有同意由我們這邊可以請其他單位一起加入成為試辦機關,如果其他單位覺得有興趣加入試辦的話,要另外寫試辦計畫報到綜合業務處。
-
所以,接下來的情形,有可能的做法是,我們一邊在試辦的過程中、一邊透過數位政府司有些場合,像資訊主管聯繫會或者是跟各種其他機關有聯繫場合,可以說明一下我們有做這樣的事情,但其他機關要試辦的程序,還是要報到院裡面經過院同意之後再加入試辦。
-
剛剛部長、莊司長所提到技術面上的 Code,我們當然可以提供出來,試辦機關要拿去用或寫到公文系統當中,這個沒有問題,但是行政程序上,目前都要經過行政院綜合業務處的同意,以上。
-
Code 是軟體 Code 先行,但是法規的 Code,還有一些程序要走。
-
看有沒有其他要詢問或者是補充的?
-
(與會者皆無意見)
-
這個部分如果沒有意見的話,我們就洽悉。
-
第六個報告案是,本部各司、處、署這一段時間所做的工作內容,已經有書面報告,不知道各位主管、首長有沒有要補充的?
-
行政院對於各機關辦理各類會議講習改進重申的規定,雜費報支一天在外地舉辦的會議講習訓練這種經費的允許,也就是當初按照那時的 550 元標準,這次一次放寬到 1,000 元,也就是每一個人、每天全部是 1,000 元的標準,所以在一些業務上有這種情況的話,就可以衡量計畫的經費跟實際的需求狀況。
-
謝謝。還有沒有其他要更新的?線上有沒有人要發言?
-
資訊處有兩件事報告:第一件事,12 月業務會議有提到社交工程演練,圖片設定不自動下載的部分,部長有指示要資訊處跟 Google 原廠確認是不是可以整批設定,經確認結果,Google 回覆無法從後台統一做設定,因此資訊處就派工程師,把一部跟兩署全面用程式掃過一遍,全部都已經設定完成,郵件不預覽、圖片不自動下載。
-
另外,數位產業署有一位專員因為請長假,還沒有設定,資安署長、副署長說要自己設定之外,其他都已經幫忙檢視設定完成。
-
第二,基於資安考量,預計在 3 月 1 日之前會把相關程式收回,將來同仁如果要安裝應用軟體的話,可能要提出申請請工程師安裝,以上兩件事,謝謝。
-
有沒有其他要補充的?
-
我額外補充一下,公文系統整合 TW FidO 的批次補簽功能已經上線,我覺得滿好的,一次補簽 20 份公文,可以省很多時間。
-
接著是討論事項,有關於資通安全管理法的修正草案,提請討論,先請資安署說明。
-
謝謝,有要補充的嗎?
-
請看到簡報第 8 頁,第 32 條跟部長作個補充說明,昨天法案審查會議公務機關得辦理委任或委託之事項,僅指第 3 項第 2 款部分,今天早上看到新增了第 1 款跟第 3 款,針對第 1 款至第 3 款的文字,法制處提供一些想法提供資安署參考。
-
第 1 款、第 2 款處理的都是資通安全維護計畫實施情形的收受機關是誰,及稽核事項提送之機關,所以第 1 款及第 2 款可以考慮整併,文字修正建議「第 14 條、第 15 條第 1 項及第 20 條第 4 項規定資通安全維護計畫實施情形之收受及稽核。」第 3 款移列第 2 款,文字修正建議「第 17 條第 2 項、第 3 項規定接受資通安全事件之通報,與資通安全事件調查、處理及改善報告之收受。」以上。
-
謝謝。本來的版本第三個是「受第 17 條」,應該是「收受」?
-
配合第 17 條用語,以「收受」為宜。
-
瞭解,這個部分資安署事前應該有收到,我聽起來滿合理的,看資安署覺得?
-
我們應該可以照辦。
-
昨天的早上的跨部會會議跟下午部內的審查會議,包含部相關實務運作的韌性司、數政司、資訊處,其實是非常有益,早上包含金管會、台北市政府、衛福部、教育部、經濟部等都提了非常多實際的意見,藉這個機會,不光是法條溝通,光是危害國家資通安全產品的整個操作,署長、副署長都做了非常仔細地解說,滿有助於大家在業務上互相交流、溝通,也會發現某些條文,比如危害國家資通安全產品的管控措施,公務機關跟特非會有一點不太一樣,如果訂得太沒有彈性的話,首當其衝就是韌性司,因為韌性司也負責通傳領域的 CI。非常感謝資安署的同仁做了非常完整的報告與解說,下午的時候也都把各機關所考量的意見跟法制處做了非常仔細地檢查,其實是一個非常好的互動模式。
-
另也有助於以後對外解釋這個法案,增加說服力,舉例來說,寫「類一條鞭」各機關的直覺反應是可能會侵害到機關人事權,昨天署長也做了說明,是緊急的狀況之下,而且一定是尊重各機關人力調度的情形,所以從這個角度來看,以後對外法案說明的時候,可能不太用「類一條鞭」的用詞,比如「緊急調度」,比較會增加說服力,這個是滿好的經驗,非常謝謝資安署、法制處,也包含資訊處等各單位同仁,都提了非常好的意見。
-
第二,如果通過的話,說明欄的部分還沒有做仔細地校對,一方面請資安署進行法案報院通報,同時做法案整備,要麻煩法制處就文字細節再進一步的確認。
-
謝謝。因為這個簡報也會提供出來,是不是把簡報就把「類一條鞭」適度調修,直接寫「調度支援」就好了,因為不管是條文或者是說明欄,都是寫「調度支援」,適用在重大,誠然是緊急重大,但是好幾個月前我們就知道有重大事件,像特定的事件,前面一定會有一波網攻的情況下,那就不一定這麼緊急,但是很重大,我們不特別區分緊急、不緊急,我們就寫資安人力的「調度支援」,簡報就請配合調修。
-
還有沒有其他要分享?我們這邊有許多司署長,都是《資安法》的使用者。
-
我們自己是 A 級機關,監管法人幾乎都是 A 級的,又有 CI 跟特非。
-
我想問一下,現在的特非,有些禁止使用危害產品、有些是限制使用危害產品,有些則根本無法介接到資通系統。這個判斷,是由每個特非的中央目的事業主管機關來做嗎?
-
看起來文字上是這樣的意思。
-
所以等於八大各指定各的?我想這樣確實比較有彈性,但是這裡面有個實作上的情況,如果有需要指定限制或者是禁止使用,針對公務機關的情資分享,想必一定要收到,那還是要分享到這些特非,也就是有限制或者是禁止的特非。這在我們訂審查程序或是情資分享辦法的時候,可能要考慮進去。
-
昨天也有討論到,包含國科會、韌性司都有提到,原則上一方面給中央目的事業主管機關比較大的彈性,因為每個領域在乎的可能不太一樣,比如通傳領域對於危害資通安全產品,過去有非常多的經驗,不強求一定跟公務機關完全一致,特別是 CI 的業者有可能是民營企業,不可能要求民營企業完全比照公務機關。
-
第二,公務機關就危害資通安全產品的情資是分享機制,後續可能會走到線上查詢,是不是可以適度開放給特非,還要做進一步的研議,但實際限制或者是禁止使用的範圍,要尊重各中央目的事業主管機關,對於不管是關鍵基礎設施的提供者,或者是公營事業或者是特定財團法人,可能要對實際管理需要來做必要的限制。
-
我如果說錯的話,可以請資安署說明。
-
葉次講得很完整。
-
調修說明的文字要怎麼調整,這個部分有沒有什麼意見?
-
後續會持續跟各機關溝通說明,如何精進危害國家資通安全產品的管制措施。
-
看大家有沒有其他補充?
-
這個條文的調修說明我會再看過,我會以產品的風險值來處理。有關於情資分享的部分,昨天葉次也有提示我們,公務機關做的這個模型,基本上就是給中央目的事業主管機關參考,如果要跟我們的產品情資有一些參考的介接合作,我們都 OK,那個落到執行面的時候再處理,以上補充。
-
選後有一些訪團來,不管是國際媒體的訪問,或者找我去錄 podcast,第 11 條都是必問的題目,尤其是關於資訊完整性會不會受到危害產品的干預。現在在國際上,特別是美國十一月要選舉了,這是非常熱門的題目。我想折衷這麼久端出的方案,不只是國內關心,國際上大家也都非常關心,因為我們確實就是在前線。
-
我想接下來資安署在進行公眾溝通的時候,可能有兩個要注意的。首先是我們框限在危害產品的情資分享,後面有一個概念是,不可能完全在私部門,特別是「特定非公務機關」以外的私部門,無法明天就全部禁用;但是,大家充分瞭解危害的情況之下,也可以透過好比像專區專人、離線使用等等措施來降低危害,相關風險值的概念、管控方式的這部分仍然可以多多分享。
-
如同剛剛大家所說的,這個部分今天只是原則通過,法制處還有一些調修的部分。完成文字整理後,就來辦理重大法案的報院通報,希望大家儘快完成後續報院的相關事宜,讓《電子簽章法》跟《資通安全法》都可以順利報院。
-
我建議文字一邊調修、一邊可以辦理。
-
那就是併行辦理。沒有別的話,我們就往下。
-
臨時動議。
-
有沒有要分享的?如果沒有的話,今天會議到這邊,謝謝。