我覺得你們做完技術性的問題解決之後,我們再處理,因為技服是後援的角色。
對,你上架前應該要先測過再上架。
你們先做過PT了嗎?
下個禮拜就要上線了?這個是?
因為本來就要打,如果後續需要的話,請技服再做一次也沒有問題。
依資安法規定要做滲透測試。
你們有既有的廠商。
最後一個建議是,因為看起來其實都在試辦,後續還有一些系統在調整,我會建議整個系統準備好,也就是整個系統都準備好要做一次滲透測試,去瞭解所有的威脅弱點在哪裡,包含系統技術面或是在目前沒有辦法想像的。
所以未來這個資訊安全的架構上,可能要再多做一點保護。
對,因為未來建設系統,會跨VPN……可能要多做一點防護跟考慮。
所以是下載網址未公開。接下來再請教第24頁裡面,未來修改系統的健保署第2項,硬體許可跨健保VPN……虛擬健保處的認證的意思是?
那個安裝程式APP,是不好安裝嗎?
我擔心的是民眾對這個信任的問題、信心的問題,而不純粹是……因為上面的資料明明不多。
我是說應受測者……感覺上不是……
我有兩個請問跟一個建議,第9頁裡面,依調查民眾的問卷結果分析,為何民眾覺得資料隱密性只有59%……你們有去瞭解過?
大家好,我是行政院資安處徐嘉臨,等一下還有事情,必須先離開,但是我有一個同事在後面,陳奕洲會跟各位討論,參加的目的是受政委及健保署之邀,希望能夠就行政院對於資通安全的政策如何跟健保卡結合並來討論,謝謝。
有,但是跟產業不一樣,國外其實有很多資安課程,在臺灣開完後就會給一個認證,國外很多資安課程都有,我們要強調的是,經濟部發展專門為這一些國防軍種或者是關鍵基礎設施這一些訓練出來的人才,他們的需求跟能力可能是不一樣的。
但是我們後續可以再跟他們討論一下。
經濟部還在規劃當中,他們的計畫有提報上來,委員也有給他們意見,訓練這一些人,所以希望可以未來導入在人才認證的制度,經濟部是有在規劃的,但是還沒有很明確的時間表。
其實是在訓練過程當中,就應該給他認證。
對。
其實還是有事情,還是持續在做推動。
比如經濟部是在做智慧電表,現在全部要裝智慧電表,但是還是有可能遭受攻擊,因此可能在電表旁邊做一些資安防護的設備,然後未來研發的時候在這一個場域去作實驗,也就是需要去作test。
會透過技術的方式來研發需求,但是研發這一個產品需要一個試驗場域去試驗這個產品是否可以work跟是否符合期待,因此希望可以連結。
我覺得主委這一塊也可以連結「亞洲‧矽谷」,我覺得這兩個計畫可以結合起來推動。
現在主要的規劃做法是,一開始還是由法人,至少如何建立一個示範,就是會有一個前置規劃,最重要的目標是希望實驗室未來能夠有自己的能量來做這個實驗,其實還是希望能夠產業化,我覺得做這一件事也是可以產業化的,所以目前的規劃應該還是一開始朝民間做,也就是先由法人來建立。
剛剛國發會報告有很多分工。
沒有特別提,我們四個是要放一起嗎?
另外一個是,有關於資安產業的部分,也就是自主能量培育的部分,我們希望未來資安產業培育出來之後,設備的產品在國內的政府市場當中可以被優先採用,以上報告。
另外一個是,建構國家資安聯防體系的部分,也就是剛剛所講的關鍵基礎設施跟地方政府的未來聯防體系可以建立起來。像孕育優質資安人才的部分,希望透過資安人才培育之後,可以建立一個資安快速的應變小組,也希望能夠在未來培育資安高等的專業人才。
接下來預期效益的部分,也就是從四個策略面有訂了一些可以達到一些目標,在完備資安環境的部分,主要是希望資安管理法的立法,老實說在立法的程序當中經過立法院,這個時程就不是可以完全掌控的,我們還是希望有一個目標的期待。
107年有一些培訓機構陸續成立之後,也許可以變成一個產業。我們希望訓練機構有一些專業認證的機制,讓他們未來不管是在國內訓練資安的人力有一定品質的部分,我們也在思考108年要訓練國內資安訓練機構的專業認證制度,一方面是要持續培育資安跟政府的資安專才,三年度的工作就是這樣的方式。
教育部也特別希望在明年開始可以到國外去受資安種子師的訓練,這個是希望在107年可以做到的。
107年會實際培養開立課程,然後訓練一些資安的專才。
接下來是有關於孕育資安人才專業的部分,其實在106年先盤點資安人才的需求及供給的情形如何,106年還著重在資安課程的設計,政府機關資安人員地圖的設計,這個都是課程設計中。
我想必須提到的是,現在在做資安標準時,我們必須再做驗證,也就是幫資安廠商做設備驗證的部分,目前都送到國外驗證,目前經濟部的規劃是希望有在地的實驗室,也就是跟國際鏈結,不管是實驗室的規格或者是標準,能夠在地化之後,可以就近在國內驗證,因此可以輸出到國外,這個是節省在做研發成本或者是產品設計成本上的節省,大概是這幾個重點,我們希望後續可以補充下去。
其實我們內部昨天有討論,有一些資料不在這一個簡報上,而要特別提出來的是,要扶植新創的資安公司,我想經濟部也要配合國發基金的新創公司,這一些資源可以挹注到資安新創公司產生。
另外一個,有關於關鍵基礎設施的防護需求現在也在做一些訪查,其實我們有提到要從需求來帶動市場的發展,因此這一個部分是在106年的工作。
就資安產業自主能量的部分,幾個重點是106年會先盤點資安產業的現況,現況不管是臺灣目前資安產業的產值,或者是哪一些屬於國內,哪一些是國外的資安產業,都還在做現況的調查。
接著是地方政府的部分,我們現在其實是在地方政府也是推動以六都為領軍來領導其他的縣市來建立區域聯防的機制,透過剛剛的模式,把資料往上送到資安大數據,來形成國家整體聯防的效果。
接著是建立國家資安聯防體系的部分來看,看看有沒有提供三層制建起來,然後把資料層層往上送,做一個促進的分析及聯防的效果。
接下來是資安標準訂定,是一個持續性的工作,所以在106年至108年會持續發展,國家政府治理的部分,106年會就國家層級的部分,會先建立一下資安風險的機制,也就是資安風險哪一些是要被識別出來的,接著是到機關的部分作資安治理成熟度的導入。
有關於完備資安基礎環境的部分,也就是資安管理法、標準及資安導入,我們預期有一些進度,也就是在今年年底如果可以順利完成立法的話,當然107年、108年我們可以針對被受管理的事項來施行。
(簡報第50頁)這個是從106年至108年四個策略面向的工作重點,我簡單來說明一下,可以擇要選擇重點的部分來報告。
接著是政府部門,政府部門的資安人才是比較缺乏的,這三個面向是三個需求端,供給端會透過這幾個部會的分工,包含國防部有資通電軍與訓場的提供,還有大學、研究所的資安人才,以及經濟部、科技部的部分都有培育。
未來國家的八大關鍵基礎設施,要做資安防護管理時,要有一些資安的需求,在這方面相對是少的。
接下來,有關於資安人才孕育這一塊,簡報當中有強調培育資安人才很重要,但是培育出來的人沒有出路,其實也是白忙一場。因此從需求來帶領人才的培育與供給,需求會在哪裡?國防部是第一個,因為國防部目前在成立「資通電軍與訓場」,目前都還沒有招滿。
