我有兩個請問跟一個建議,第9頁裡面,依調查民眾的問卷結果分析,為何民眾覺得資料隱密性只有59%……你們有去瞭解過?
我是說應受測者……感覺上不是……
我擔心的是民眾對這個信任的問題、信心的問題,而不純粹是……因為上面的資料明明不多。
那個安裝程式APP,是不好安裝嗎?
所以是下載網址未公開。接下來再請教第24頁裡面,未來修改系統的健保署第2項,硬體許可跨健保VPN……虛擬健保處的認證的意思是?
對,因為未來建設系統,會跨VPN……可能要多做一點防護跟考慮。
所以未來這個資訊安全的架構上,可能要再多做一點保護。
最後一個建議是,因為看起來其實都在試辦,後續還有一些系統在調整,我會建議整個系統準備好,也就是整個系統都準備好要做一次滲透測試,去瞭解所有的威脅弱點在哪裡,包含系統技術面或是在目前沒有辦法想像的。
你們有既有的廠商。
依資安法規定要做滲透測試。
因為本來就要打,如果後續需要的話,請技服再做一次也沒有問題。
下個禮拜就要上線了?這個是?
你們先做過PT了嗎?
對,你上架前應該要先測過再上架。
我覺得你們做完技術性的問題解決之後,我們再處理,因為技服是後援的角色。
大家好,我是行政院資安處徐嘉臨,等一下還有事情,必須先離開,但是我有一個同事在後面,陳奕洲會跟各位討論,參加的目的是受政委及健保署之邀,希望能夠就行政院對於資通安全的政策如何跟健保卡結合並來討論,謝謝。
接著是資安處就上次會議討論之後作了一些調整,並跟各位簡單報告。
我想針對資安推動願景及目標的部分已經報告過了,也就是打造安全可信賴的數位國家,接著是厚植自我防護能量,保衛數位國家安全,以推升資安產業自主能量及盈餘、優質資安人才,以下就四個重點工作來說明。
第一個是有關於完備資安環境的部分,我們先從三個層次來著手,最上位是從資安的法規,也就是推動資安管理法的立法,中間這一層是透過資安技術標準來作訂定跟推動,目前主要的範圍還是以未來的趨勢,也就是以物聯網為主的驗證標準。
我們後續可以再補充,很大的部分是在政府資安管理面及技術面的標準,這個也是後續要推動的。
最底層的部分是制度面的部分,我們就會推動政府資安治理制度的面向。其實政府做的是管理面的東西,未來治理面的東西會有成熟度的模型,會依據各個機關不同資安等級的強度跟責任來導入成熟度,這個部分是策略面要作的事情。
接著是有關於建構國家資安聯防體系的部分,這個要從三個層次來看,最主要的目的是希望從不政府機關或者是關鍵基礎設施,從機關自己的組織內部到整個國家層級能夠在不同的層級裡面去建立持續監控、早期預警及緊急應變的能力。
我們看到基礎設施的提供層級部分,其實就是把目前所講的八大關鍵基礎設施,目前是會建立持續監控、早期預警及緊急應變的能力,也就是以六都為首來監控,也就是監控設備跟分析的能力,要把這一個資料彙整到上一個層級面,以金融來講的話,金管會會收攏各個銀行的訊息,也就是會早期預警跟緊急應變。
會送到國家的各個層級,也就是會把資安的資料收據彙整好,我們才有辦法從國家的整體面,從資安的大數據裡面來看到國家資安的風險如何做預警及因應,這樣的架構去著手,這個是未來想要做的整個架構。
接著是推升資安產業自主能量的部分,主要還是希望能夠在國內扶植一些資安產業的發展,主要的重點是在推動資安產業的生態鏈:也就是所謂關鍵基礎設施的市場當中,他們有這樣的需求帶動之後,透過周邊有所謂的培育資安人才,還有研發前瞻資安技術及提供資安試驗場域的措施,能夠營造這樣的環境之後,就來催生我們的資安產業,進而帶領他們到國際上去做一些市場上的進軍。
接下來,有關於資安人才孕育這一塊,簡報當中有強調培育資安人才很重要,但是培育出來的人沒有出路,其實也是白忙一場。因此從需求來帶領人才的培育與供給,需求會在哪裡?國防部是第一個,因為國防部目前在成立「資通電軍與訓場」,目前都還沒有招滿。
未來國家的八大關鍵基礎設施,要做資安防護管理時,要有一些資安的需求,在這方面相對是少的。
接著是政府部門,政府部門的資安人才是比較缺乏的,這三個面向是三個需求端,供給端會透過這幾個部會的分工,包含國防部有資通電軍與訓場的提供,還有大學、研究所的資安人才,以及經濟部、科技部的部分都有培育。
(簡報第50頁)這個是從106年至108年四個策略面向的工作重點,我簡單來說明一下,可以擇要選擇重點的部分來報告。
有關於完備資安基礎環境的部分,也就是資安管理法、標準及資安導入,我們預期有一些進度,也就是在今年年底如果可以順利完成立法的話,當然107年、108年我們可以針對被受管理的事項來施行。
接下來是資安標準訂定,是一個持續性的工作,所以在106年至108年會持續發展,國家政府治理的部分,106年會就國家層級的部分,會先建立一下資安風險的機制,也就是資安風險哪一些是要被識別出來的,接著是到機關的部分作資安治理成熟度的導入。
接著是建立國家資安聯防體系的部分來看,看看有沒有提供三層制建起來,然後把資料層層往上送,做一個促進的分析及聯防的效果。
接著是地方政府的部分,我們現在其實是在地方政府也是推動以六都為領軍來領導其他的縣市來建立區域聯防的機制,透過剛剛的模式,把資料往上送到資安大數據,來形成國家整體聯防的效果。
就資安產業自主能量的部分,幾個重點是106年會先盤點資安產業的現況,現況不管是臺灣目前資安產業的產值,或者是哪一些屬於國內,哪一些是國外的資安產業,都還在做現況的調查。
另外一個,有關於關鍵基礎設施的防護需求現在也在做一些訪查,其實我們有提到要從需求來帶動市場的發展,因此這一個部分是在106年的工作。
其實我們內部昨天有討論,有一些資料不在這一個簡報上,而要特別提出來的是,要扶植新創的資安公司,我想經濟部也要配合國發基金的新創公司,這一些資源可以挹注到資安新創公司產生。
我想必須提到的是,現在在做資安標準時,我們必須再做驗證,也就是幫資安廠商做設備驗證的部分,目前都送到國外驗證,目前經濟部的規劃是希望有在地的實驗室,也就是跟國際鏈結,不管是實驗室的規格或者是標準,能夠在地化之後,可以就近在國內驗證,因此可以輸出到國外,這個是節省在做研發成本或者是產品設計成本上的節省,大概是這幾個重點,我們希望後續可以補充下去。
接下來是有關於孕育資安人才專業的部分,其實在106年先盤點資安人才的需求及供給的情形如何,106年還著重在資安課程的設計,政府機關資安人員地圖的設計,這個都是課程設計中。
107年會實際培養開立課程,然後訓練一些資安的專才。
教育部也特別希望在明年開始可以到國外去受資安種子師的訓練,這個是希望在107年可以做到的。
107年有一些培訓機構陸續成立之後,也許可以變成一個產業。我們希望訓練機構有一些專業認證的機制,讓他們未來不管是在國內訓練資安的人力有一定品質的部分,我們也在思考108年要訓練國內資安訓練機構的專業認證制度,一方面是要持續培育資安跟政府的資安專才,三年度的工作就是這樣的方式。
接下來預期效益的部分,也就是從四個策略面有訂了一些可以達到一些目標,在完備資安環境的部分,主要是希望資安管理法的立法,老實說在立法的程序當中經過立法院,這個時程就不是可以完全掌控的,我們還是希望有一個目標的期待。
另外一個是,建構國家資安聯防體系的部分,也就是剛剛所講的關鍵基礎設施跟地方政府的未來聯防體系可以建立起來。像孕育優質資安人才的部分,希望透過資安人才培育之後,可以建立一個資安快速的應變小組,也希望能夠在未來培育資安高等的專業人才。
另外一個是,有關於資安產業的部分,也就是自主能量培育的部分,我們希望未來資安產業培育出來之後,設備的產品在國內的政府市場當中可以被優先採用,以上報告。
沒有特別提,我們四個是要放一起嗎?
剛剛國發會報告有很多分工。
現在主要的規劃做法是,一開始還是由法人,至少如何建立一個示範,就是會有一個前置規劃,最重要的目標是希望實驗室未來能夠有自己的能量來做這個實驗,其實還是希望能夠產業化,我覺得做這一件事也是可以產業化的,所以目前的規劃應該還是一開始朝民間做,也就是先由法人來建立。
我覺得主委這一塊也可以連結「亞洲‧矽谷」,我覺得這兩個計畫可以結合起來推動。
會透過技術的方式來研發需求,但是研發這一個產品需要一個試驗場域去試驗這個產品是否可以work跟是否符合期待,因此希望可以連結。
比如經濟部是在做智慧電表,現在全部要裝智慧電表,但是還是有可能遭受攻擊,因此可能在電表旁邊做一些資安防護的設備,然後未來研發的時候在這一個場域去作實驗,也就是需要去作test。
