行政院110年度預算「國土及資通安全業務」項下編列781萬9千元，決算數為655萬2千元，工作項目包括國土安全(反恐)政策之研議與業務督導、國家資安政策相關會議之舉辦、檢討修正資通安全管理法、辦理資安稽核作業、網路攻防演練及推動國家層級資安風險評估機制等。經查：

(一)110年資安事件發生增加至733件，以非法入侵占通報類型最大宗

110年政府機關資安事件為733件，較109年之677件增加56件(詳表1)，增幅8.27%，按資安事件發生之類別區分為非法入侵、設備問題、網頁攻擊、阻斷攻擊及其他等，以非法入侵占通報類型最大宗，110年523件，較109年396件增加127件，增幅逾3成；依110年國家資通安全情勢報告之分析，主要肇因於使用弱密碼或廠商維運管理疏失，相關案例包括委外廠商遠端連線未妥善管理，致遭駭客上傳惡意程式；或未遵循政府組態基準要求之複雜性與強度原則設定，導致帳號密碼遭暴力破解成功，並植入勒索軟體等。

表1 政府機關資安事件調查表 單位：件

年別

主管機關

非法入侵

阻斷攻擊

設備問題

網頁攻擊

其他

小計

108

中央政府

113

3

30

56

61

263

地方政府

152

1

9

106

143

411

小計

265

4

39

162

204

674

109

中央政府

146

5

35

27

80

293

地方政府

250

0

9

37

88

384

小計

396

5

44

64

168

677

110

中央政府

147

0

36

9

60

252

地方政府

376

1

21

27

56

481

小計

523

1

57

36

116

733

合計

1,184

10

140

262

488

2,084

資料來源:行政院資安處提供。

(二) 110年度資安稽核概況報告發現部分受查機關未遵循法令規定，資安防護作業有待強化

另依公務機關110年度資安稽核概況報告發現，受稽核機關核有管理作業待改善事項諸如：未落實資安法施行細則第4 條規定，資訊服務委外作業未於合約或建議書徵求文件明確規範防護基準需求；或部分機關辦理委外廠商稽核作業無記錄相關查核證據，且無追蹤管考機制，與前揭規定未符；部分機關雖已規劃執行內部資通安全稽核作業，惟稽核計畫內容不完整；是以，各機關允宜確實落實法令遵循事項，以強化資安防護之完整性與有效性。

綜上，隨著資通訊科技快速發展，資安威脅層出不窮，主責機關允宜賡續促各機關提升資安防護能量，並確實落實法令遵循事項，以有效控制資安風險，俾維護國家整體資通安全。

（分機：1930芮家楨）