我國資安推動進程

第七期方案框架

行政院國家資通安全會報（以下簡稱資安會報）自90年迄今，陸續推動7個階段、各為期4年之重大資通安全計畫或方案，已有效提升我國資安完備度，各期計畫或方案重點說明如下。

• 一、第七期發展方案（114-117年）

  我國資安政策推動已歷經前六階段之系統性發展，逐步達成「建立安全資安環境，完備資安防護管理，分享多元資安情報，擴大資安人才培育，加強國際資安交流」之階段性目標，有效提升我國資安完備度。鑒於資通訊服務應用廣泛，以及我國重大科技創新政策，對於國家安全，甚至是社會經濟活動各種應用層面，資通安全皆扮演關鍵角色，為能因應國際趨勢與新型態資安攻擊與威脅，在既有的防禦基礎及面向上延續我國的資安防護能量與優勢，除持續落實第六期發展方案，行政院國家資通安全會報為逐步提升我國資通安全防護能量，並以賴總統治國理念「國家希望工程」、「五大信賴產業」、「國家資通安全戰略2025—資安即國安」，打造韌性臺灣，維護安全與和平為應用。爰以「建構信賴安全之數位社會」為願景，期打造安全、信賴、開放的數位新社會。將提出「第七期國家資通安全發展方案(114-117年)」，作為我國推動資安防護策略與計畫之依循目標。

  為共創安全可信的數位環境，打造以資料為核心的智慧資安研究重鎮，培育我國資安人才生態系，精進國家資安防護作為，利用AI等智慧科技強化主動防禦機制並溯源阻斷，透由公私協同資安治理將資安意識與量能普及於民間企業，並健全國家防禦能量，本方案擬具四項推動策略，分別從「全社會資安防禦」、「提升關鍵基礎設施資安韌性」、「壯大我國資安產業」及「AI新興資安科技應用與合作」等四個面向著手，並配合「五大信賴產業之安控產業」規劃持續推動資安產業，期以實現安全、可信賴、開放的數位社會。

• 二、第六期發展方案（110-113年）

  第六期以「打造堅韌安全之智慧國家」為願景，並以「成為亞太資安研訓樞紐、建構主動防禦基本網路、公私協力共創網安環境」為目標，四項推動策略，分別從「吸納全球高階人才，培植自主創研能量」、「推動公司協同治理，提升關鍵設施韌性」、「善用智慧前瞻科技，主動抵禦潛在威脅」及「建構安全智慧聯網，提升民間防護能量」等四大面向著手，其執行重點推動成果說明如下：

  • （一）吸納全球高階人才，培植自主創研能量：教育部培育並輔導可投入資安產業或成為資安新創人才，開設EC-Council Certified Ethical Hacker (CEH)駭客技術專家認證課程，共41名學員通過證照考試；優化15門資安實務示範課程教材資源內容，並鏈結新興應用場域開設課程，培育資安實務人才，110年至113年推廣至大學校院資安課程中使用，已融入計516門課程中使用，修課人次逾2萬人次。數位發展部資通安全署培養我國高階技術人才，邀請國外資安知名人士自110年至113年辦理實戰人才菁英班，計培植452名頂尖資安技術人才。數位發展部數位產業署協助企業在職資安人才培育，自110年至113年累計培育5,114人次；國家科學及研究委員會110年至113年累計開發重要資安技術/機制153項，並串接產學研，促成產學合作及技術移轉金額近8,815萬元。數位發展部資通安全署成立資安卓越中心，長期目標係成為亞太高階資安人才及技術創新基地，每年均提出至少9篇資安相關前瞻研究論文或報告，並延攬6位國外高階研究人員擴充研究團隊規模，提升整體資安防護量能，並與國際技術或研究機構累計簽定4個合作協議書或MoU，且持續開發及接觸可合作之國外資安技術或研究機構。
  • （二）推動公私協同治理，提升關鍵設施韌性：數位發展部資通安全署推動資安法修正草案，業已踐行相關法制作業程序，包含辦理修正草案說明會蒐集意見、進行草案預告、召開跨院部會、地方政府等機關協商會議、政委審查會議及提報行政院院會通過核轉立法院審議，以適時檢討以因應國際資安防護趨勢；並滾動調修納管機關資安責任等級，確保納管機關資安防護要求之妥適，截至113年底為止，已累計587個機關資訊向上集中；交通部訂定交通領域工業控制系統資安防護基準，包含9大防護構面，計90項控制措施，供所管32家特定非公務機關依循。經濟部111年公告「經濟部能源與水資源領域工業控制系統資安防護基準」並修訂「經濟部能源及水資源領域工業控制環境資安防護建議」，110至113年已完成27個場域防護基準輔導。衛福部112年發布「醫療關鍵基礎設施醫院醫療儀器相關系統資通安全防護基準」。數位發展部發布關鍵電信基礎設施資通設備資通安全檢測技術規範。各CI主管機關落實稽核CI提供者及每年均辦理資安攻防演練，110至113年完成116家CI提供者資安稽核，以督促其落實資通安全管理法法遵及資安防護措施。
  • （三）善用智慧前瞻科技，主動抵禦潛在威脅：數位發展部數位產業署110至113年累計研發24式主動式智能偵防技術，執行主動式防禦技術場域實證累計達42家，協助企業主動抵禦潛在資安威脅，並研發「勒索軟體智能獵捕平台」，可有效透過三大模組(人工智慧、防毒軟體及沙箱)來協助使用者辨識惡意程式與軟體，自動化建立惡意檔案資料庫並應用於AI偵防模型，在駭客造成傷害前先一步阻斷威脅，避免企業再次受到勒索病毒入侵，榮獲2022年美國 R&D 100 百大科技研發獎；數位發展部資通安全署發展主動式防禦手法相關技術與應用情境，並完成實作驗證，擴充系統功能與整合驗證已發展之攻擊情境，驗證駭客攻擊手法與流程，以剖析新興駭客攻擊手法，提醒政府機關留意攻擊威脅與強化資安防護，110至113年已累計完成實作驗證8套攻擊情境。完成研擬完成零信任驗證機制與部署機制，111至113年分別於文化部及退輔會完成零信任架構之身分鑑別、設備鑑別及信任推斷機制試行，並辦理零信任產品驗測，計有16項身分鑑別產品及3項設備鑑別產品通過功能符合性驗證。
  • （四）建構安全智慧聯網，提升民間防護能量：數位發展部完成滾動修正資通安全維護計畫參考框架暨稽核計畫1份，以完備5G網路資安管理機制與相關資安法規，並推動建置通訊領域軟體安全實驗室，為5G、系統廠商及物聯網相關業者提供檢測服務，以提升該等產業資安體質。數位發展部數位產業署110年針對5G通訊、智慧製造、遠距辦公等領域，打造解決領域需求及新興資安議題之解決方案，並進行場域實證；111年聚焦於製造業，發展能解決產業共通性問題之整合型資安方案，藉由推動資安業者於指標製造業場域進行導入實證；112年起以臺灣自主研發的零信任資安解決方案為推動主題，將新興資安技術導入電商、數位內容、資訊服務、電信、高科技製造等產業場域；113年度由企業主領頭打造供應鏈安全的零信任資安示範場域；數位發展部資通安全署113年協處國內企業資安通報共458件，惡意檔案檢測服務達1,800件，審核並發布國內產品資安漏洞（CVE）計168個，並協調廠商修補產品漏洞，以提升我國資通訊產品信賴度；並依據國內外最新資安法令及標準修定「資通系統防護基準驗證實務」等10項參考指引，提供政府機關及民間資安需求使用。數位發展部數位產業署透過制定我國標準及測試規範，完成與SESIP標準調和，在標準面層面達成國際接軌；建立我國晶片安全檢測實驗室並取得國際認證，培養我國晶片安全檢測能量，在檢測能力上與國際對接；協助我國晶片產品業者通過SESIP產品驗證，實現「在地檢測，全球通行」。
• 三、第五期發展方案（106-109年）

  第五期以「打造安全可信賴的數位國家」為願景，搭配「建構國家資安聯防體系」、「提升整體資安防護機制」、「強化資安自主產業發展」3大政策目標，並從「完備資安基礎環境」、「建構國家資安聯防體系」、「推升資安產業自主能量」及「孕育優質資安菁英人才」等4大推動策略著手，訂定11項具體措施，逐步推動我國資安縱深防禦及聯防體系，以穩固我國數位國土的資安防線， 主要成果如下：

  • （一）完備資安基礎環境：107年5月11日經立法院三讀通過資通安全管理法，6月6日總統令公布，12月5日函頒施行令，建立我國資安法制化之基礎，於108年1月1日正式施行，資通安全管理法制定之六項子法亦同步施行，明定落實各項資安作業。 為建構我國資通訊產品資安防護標準，經濟部及國家通訊傳播委員會共同推動資通訊產品資安檢測暨認驗證制度，包括產品資安檢測基準制定、測試實驗室認證、資安檢測服務提供、產品資安驗證及合格標章核發及公告等，並以具市場規模及影響民生較大之產品為優先推動標的，目前已制定影像監控(IP CAM、NVR、DVR)、智慧巴士(車載機與智慧站牌)及智慧路燈(燈控器與照明閘道器)等IoT資安標準，其中IP CAM 資安產業標準現已成為國家標準(CNS 16120)。
  • （二）我國資安聯防體系以八大CI領域為核心：由行政院統籌，結合中央目的事業主管機關串連CI提供者進行領域資安防護，並銜接國家層級進行橫向跨域聯防，形成「三層式資安聯防架構」，以減緩CI受資安攻擊致營運中斷的影響，進而強化整體國家安全，目前已推動建置國內層級及各CI領域層級之資訊安全監控中心(Security Operations Center, SOC)、電腦緊急應變小組(Computer Emergency Response Team, CERT)及資訊分享與分析中心(Information Sharing and Analysis Center, ISAC)等聯合防護機制，以系統化及制度化方式，進行資安情資掌握及傳遞、事件通報及應處、情資整合分享與應用等，建構完整的防禦陣線。 有關地方政府部分，藉由強化地方政府及所屬基層公所之資安防護，協助其建構安全資通作業環境，建立可信賴的資通安全環境，且以六都為核心，結合鄰近縣市推動資安區域聯防，建立地方聯合資訊安全防護網，並帶動地方政府與臨近學研機構合作，共同培育政府與學界之資安人才。目前已建置6個區域ISAC且成為「國家資安資訊分享與分析中心」(National Information Sharing and Analysis Center, N-ISAC)會員，使情資可迅速地分享予地方政府，亦完成6個區域SOC，彙整所屬鄰近縣市之資安情資，進行綜合分析以掌握可疑惡意行為。
  • （三）推升資安產業自主能量：為推動我國資安產業之自主發展，提高國內自主率等事宜，行政院於108年11月28日公布「資通安全自主產品採購原則」，鼓勵中央與地方機關(構)、公立學校、公營事業及行政法人依政府採購法採用資通安全自主產品，進而帶動資通安全產業發展及強化國家資通安全防護能量。另，經濟部為協助我國資安業者提升中長期競爭力，建置資安整合服務平台(SecPaaS)，推動國產資安產品與服務媒合服務，供給方為可提供資安服務的廠商，如安全軟體開發工具商、滲透測試服務供應商、新興資安產品供應商，其產品與服務經審核通過後即可上架。需求方為場域代表或產品整合商，如系統整合服務商、解決方案提供商。透過平台協助媒合需求方場域導入資安產品試煉與實證，以期建推動垂直整合領域資安解決方案。 為加速我國資安產業發展，政府投入資源為我國資安業者創造有利條件及發展環境，使業者於發展初期快速蓄積多方面能量並獲得成長空間。並結合資安新創社群，辦理技術聚會、工作坊，建立產學研界資安趨勢與技術交流環境，串接國內資安研發能量，讓資安技術向下紮根，同時扶植新創公司累計達25家，如白帽駭客社群產業化或帶動大企業進行投資。
  • （四）孕育優質資安人才：107年教育部於原有公費留學考試中增設電資學群，設立「資通安全學門」，提供錄取生出國研習，並推動4所大專院校自108年起成立5個資安碩士(學程)班，逐步建置系統性資安人才培育體系。另辦理多元實務培育模式，自105年推動「台灣好厲駭」培訓課程，以培育具資安技術實務能力的人才為目標，結合學界與業界教師，推動業師(Mentor)制度，以師徒制方式教授資安實務技術及資安競賽經驗，另針對資安技能表現優異的學生給予更專精深造的機會，於106年啟動新型態資安暑期課程(Advanced Information Security Summer School, AIS3)，以培養高素質資安人才為目標，並舉辦Final CTF或資安實務應用專題競賽。透過多元實務培育模式，近年來我國資安學員出國參加全球駭客搶旗攻防大賽(DEF CON CTF)等國際資安競賽均名列前茅。 針對資安產業的人才培育，經濟部自106年起開辦資安產業人才養成班，補助每位學員400小時全職資安培訓，結訓後由培訓單位提供就業媒合服務；106年結訓後3個月內達100%媒合，107年亦達80%，且成功媒合中有20%直接投入資安產業。而產業資安人才的推展，採結合市面各資安培訓能量，針對不同產業領域開設資安在職班進行短期培訓，由企業選派學員後由工業局提供補助，即時強化產業內的資安能量。109年短期資安人才累計開訓11班220人次、CI資安人才累計開訓6班133人次、長期資安人才訓練課程累計開訓3班69人次。針對高階資安人才養成，TWISC中心聯盟向下成立7個TWISC資安特色中心，累計培育資安碩博士生792名，至109年第3季已發表289篇期刊及研討會論文，執行96件產學合作，並移轉15項資安技術。
• 四、第四期發展方案（102-105年）

  加強資安防護管理聯防監控機制與資安情報分享

  行政院於102年核定「國家資通訊安全發展方案（102年至105年）」（第四期發展方案），以「建構安全資安環境，邁向優質網路社會」為願景，強化中央政府因應資安攻擊的對抗能力為重心，主要成果如下：

  • （一）國家政策與環境建構：持續增修資安政策、規範、指引、標準及手冊，盤點我國資安相關法規，研議制定資安專法；推動各政府機關資安合理人力及預算機制，每年辦理資安服務廠商評鑑；辦理「國家資通安全科技中心」籌設及運作事宜，推動行政法人化；推動資通設備安全驗證作業，積極與國際認驗證組織交流，並定期檢討檢設項目
  • （二）資安防護與情資分享：推動建立政府資安治理架構，評估A、B、C級政府機關資安治理成熟度；成立iWIN網路內容防護機構，以強化網路內容安全管理機制；落實資安攻防演練，規劃資安情境演練與實兵演練；推動政府資安管理制度，提升政府機關資通安全管理作業；推展資安基礎環境安全設定，持續規劃不同系統政府組態基準（Government Configuration Baseline, GCB）設定；增進資安威脅情報蒐集能量，強化資訊分析與分享機制。
  • （三）產業發展與技術升級：建構資安防護技術研究能量，強化新興資安自主技術競爭力；加強與企業及學研機構的資安技術研發合作，進行新興資安技術實務的應用；強化犯罪偵查應用、完善數位證據保全、推動數位鑑識實驗室，即時掌握資安犯罪動向；針對當期重點技術，如行動裝置、行動應用程式、無線網路、安全軟體發展生命週期（Secure Software Development Lifecycle, SSDLC）等，建置相應安全檢測機制。
  • （四）人才培育與國際交流：推動資安專業訓練認證機制，規劃建立資安專業人員登錄與認證機制；建立資安職能評量制度，規範各職類人員定期完成資安職能課程訓練並通過課程評量。
• 五、第三期發展方案（98-101年）

  強化資安整體應變能力，精進通報應變機制

  行政院於98年1月訂頒「國家資通訊安全發展方案（98年至101年）」（第三期發展方案），以「安全信賴的智慧臺灣，安心優質的數位生活」為願景，將政府推動資安經驗擴散至民間，逐步強化民間的資安防禦機制。主要成果如下：

  • （一）建立資安事件偵測、識別及分析回應等應變程序，提升通報時效，持續強緊急通報、應變及復原等能力。
  • （二）推動政府A、B級機關導入資安治理及績效評估，要求機關依需求配置資安專責及兼辦人力，建立資訊系統分類分級及對應的基本資安防護需求
  • （三）採用「規劃－執行－檢查－行動」（Plan-Do-Check-Act, PDCA）過程模型，藉以提升政府機關資訊安全管理水準，降低相關作業風險，並推動國內政府機關與民間企業通過國際資安標準驗證（如ISO 27001）。
  • （四）強化電子商務信賴安全，加強線上交易安全身分認證機制，推動運用公開金鑰基礎設施（Public Key Infrastructure, PKI）憑證服務。
  • （五）促進事業機構運用第三方評鑑，依法規授權加強對各目的事業資安查核，促使業者強化個資保護、建立資安管理制度、辦理內稽及委託第三方進行資安外稽。
  • （六）強化資安研究能量，鼓勵高教體系開設資安課程，培育資安專業研究人才，研發關鍵資安技術，移轉提供產業加值應用。
  • （七）宣導強化資安概念，推動各級學校資安認知活動、針對企業宣導檢視自身資訊資產安全、辦理全民資安健檢及競賽等活動，提升全民資安認知程度。
• 六、第二期機制計畫（94-97年）

  健全資安防護能力，成立國家資安監控中心

  延續第一期機制計畫，行政院於93年核定「建立我國通資訊基礎建設安全機制計畫（94年至97年）」（第二期機制計畫），持續強化我國整體資安防護基礎，主要成果如下：

  • （一）建置國家資通安全防護管理平台（National Security Operation Center, N-SOC），針對重要核心政府機關提供監測、預警服務，進行24小時防護。
  • （二）建立政府機關資訊安全長（Chief Information Security Officer, CISO）機制，指定部會業管資通安全業務之副首長兼任資訊安全長，推動執行單位內資通安全相關計畫。
  • （三）擴大政府機關資安責任等級分級作業實施範圍，大幅增加重要政府機關納入資安防護體系的數量，並將實施範圍擴及教育體系。
  • （四）推動教育體系導入ISMS，以及輔導縣（市）教育網路中心建置ISMS。
  • （五）透過稽核提升作業成效，各機關導入內部稽核制度，落實資安相關推動工作，並持續針對公民營單位進行資安外稽，提供稽核建議。
  • （六）延伸資通安全計畫防護領域，加強訂定促進線上交易安全與保障民眾個人資料的資通安全計畫。
• 七、第一期機制計畫（90-93年）

  建構資安防護體系，完成政府機關分級機制

  90年1月17日行政院頒布「建立我國通資訊基礎建設安全機制計畫」（第一期機制計畫），以「確保我國擁有安全、可信賴的資訊通訊環境」為願景。本期主要成果為建構資安防護體系，主要成果如下：

  • （一）成立資安會報，同時成立技術幕僚單位資安會報技術服務中心，作為我國負責資通安全建設與政策的主責單位。
  • （二）針對涉及國家民生的重要政府機關推動資通安全管理制度，透過建立機關資通安全危機事件通報及預警機制、責任等級分類標準，對於不同責任等級的機關提供對應的資安支援與工作要求，並針對受指定機關進行資安外稽。
  • （三）針對資訊人員推廣資安教育訓練、加強通資訊安全人力培訓及觀念宣導、提升大眾資安認知等。
  • （四）檢討及增修訂通資訊安全相關法令、訂定通資訊安全技術標準及規範，建立產品檢驗及保證機制。
  • （五）針對關鍵基礎設施的重要作業系統，規劃推動建置資訊安全管理制度（Information Security Management System, ISMS），以及資安監控中心預警及通告機制與人員訓練等資安管制方案。