第6期「國家資通安全發展方案」以打造堅韌安全之智慧國家為願景，推動跨年期「資安跨域整合聯防計畫」，計畫總經費32億3,340萬8千元，執行期間為110至113年，113年度預算案編列7億2,700萬元。謹將計畫執行情形臚列如下：

(一)「資安跨域整合聯防計畫」預算編列及執行情形

是項計畫以健全新興資安產業生態、建立垂直領域資安防護能力與應變韌性、主動式資安情資與智能偵防技術及資安領域人才養成等為推動重點，分由數位發展部(以下簡稱數位部)暨所屬、經濟部、交通部、內政部、衛生福利部、教育部、法務部及金融監督管理委員會(以下簡稱金管會)執行細部計畫。計畫總經費32億3,340萬8千元，截至111年度已編列預算數累計16億1,475萬5千元，決算數累計15億4,841萬8千元，執行率95.89%，112及113年度預算分別編列7億5,265萬9千元及7億2,700萬元(詳表1)，計畫目標與預期效益詳表2。

表1 「資安跨域整合聯防計畫」經費統計表 單位:新臺幣千元

細部計畫名稱

執行 部會

110年度決算

111年度決算

112年度預算

113年度預算案

合計

　

726,872

821,546

752,659

727,000

資安產業推動暨關鍵基礎設施資安強化計畫

詳說明

292,518

243,412

235,866

224,046

自動化及智能化主動式防禦以創建具韌性之國家關鍵通傳網路計畫

數位部

164,636

128,547

113,515

109,272

交通領域關鍵基礎設施資安整備計畫

交通部

14,740

19,002

9,093

12,591

厚植刑事科技研發能量計畫

內政部

30,570

28,577

23,391

23,144

醫療領域關鍵基礎設施資安推動工作計畫

衛福部

37,898

31,150

26,138

25,408

先進資通安全實務人才培育計畫

教育部

32,485

26,314

32,904

27,930

資安威獵蒐執法行動計畫

法務部

40,650

32,340

28,388

25,973

強化金融機構資安韌性計畫

金管會

23,700

16,450

13,287

12,509

數位國家資通安全聯防計畫

數位部資安署

89,675

295,754

270,077

266,127

說 明：110及111年度由經濟部編列執行，112年度分別由數位產業署編列2億1,682萬6千元及經濟部編列1,904萬元，迄113年度由數位部產業署編列主計畫「資安產業推動計畫」2億194萬2千元，經濟部編列子計畫「關鍵基礎設施資安聯防計畫」2,210萬4千元。

資料來源：數位產業署提供。

表2 「資安跨域整合聯防計畫」目標及預期效益

計畫目標

主要預期效益

持續拓展國內資安產業市場

健全國內產業環境，藉由擴大資安投入提升國內產品競爭力，及推廣產業資安外溢效果，輔以政府提供專業輔導團隊，拓展資安產業並行銷國際。

推動所有A級政府機關落實資安治理成熟度(含客觀指標)達第3級以上

訂定工控領域資安治理成熟度評估機制相關標準文件，並試行導入至關鍵基礎設施提供者，以衡量我國政府機關之防禦能力及治理成效。

公私協力共創網安環境，完成累計達12項物聯網資安檢測技術指引或產業標準

隨著5G通訊蓬勃發展，物聯網設備應用亦趨廣泛，藉由研擬我國物聯網資安檢測框架藉，發展資安檢測技術指引或產業標準，提供國人安全可信賴之數位基礎環境。

資料來源：摘自資安跨域整合聯防計畫書(第1-1及1-2頁)。

(二)部分配套措施仍待強化，以利資安跨域整合聯防計畫達成預期效益，並提升我國整體資安防護韌性

「資安跨域整合聯防計畫」係依據「資安即國安2.0」戰略方向，並依循「第六期國家資通安全發展方案」之規劃，以打造堅韌安全之智慧國家為願景，除延續及落實先前資通安全發展方案各項成果外，亦持續精進諸多資安措施；該計畫期程迄113年度即將屆滿，惟部分配套措施仍待強化事項如下：

1.物聯網資安檢測驗框架及檢測優先策略暨清單項目之制定仍持續作業中，允宜積極完備相關內容，並賡續精進調整，俾利強化政府物聯網資安防護功能：依第6期國家資通安全發展方案之推動策略四「建構安全智慧聯網、提升民間防護能量」，列有推動物聯網合規驗證及場域實證工作，進程目標包括於110年制定我國物聯網資安檢測驗證框架，111年擬訂物聯網資安檢測優先策略及清單項目；惟據資安署表示，迄112年7月，驗證框架相關內容尚需進行修訂，並召開審查會議。允宜儘速完成訂定作業，以達成計畫預期透過物聯網資安檢測框架，發展資安檢測技術指引或產業標準之預期效益，俾提升物聯網資安防護能力。

2.交通部推動「交通領域關鍵基礎設施資安整備計畫」子計畫，惟部分交通領域從業人員未取得資安職能證書、未評估低風險等級弱點對系統安全之實質影響、未追蹤攻防演練弱點後續改善等情形：交通部為提升交通領域關鍵基礎設施核心系統之防護韌性，執行上開資安整備計畫，已完成交通領域工業控制系統(ICS)資安職能地圖及關鍵基礎設施提供者(CIP)攻防演練；惟經審計部查核111年度總決算發現，部分相關從業人員未取得適切之資安職能證書，且資安攻防演練對象未將交通領域ICS從業人員應取得交通領域ICS資安職能課程證書之規定，納入資通安全維護計畫；另110至111年度辦理2個CIP之資安攻防演練，惟未評估低風險等級弱點對系統安全之實質影響，亦未督導攻防演練對象完成資安弱點修補作業，以致增加資通安全防護潛藏風險。

3.金管會雖已持續增修訂金融業者資安規範，並導入國際資安管理及驗證標準，惟銀行、保險、電子支付等金融機構之資安處理仍有共同性缺失：金管會為健全金融業資安發展，保護消費者資料安全及維持金融秩序，持續增修訂資安規範並導入國際資安管理驗證標準，以強化金融機構資安監理政策；惟經該會辦理110及111年金控、銀行業、證券、投信、保險公司、電子支付專營機構(詳表3)之個人資料保護檢查後，發現仍有相關共同性缺失(110年4項及111年8項)，後續允宜追蹤改善情形，以提升金融資安韌性，並深化治理綜效。

表3 110及111年金融機構個資檢查家數統計表 單位:家數

年

金控公司

本國

銀行

外銀在臺分行

信合社

票券公司

保險公司

證券公司

投信公司

信用卡公司

電支公司

合計

110

7

24

8

18

3

30

11

14

1

2

118

111

7

34

8

13

4

21

9

15

2

4

117

合計

14

58

16

31

7

51

20

29

3

6

235

資料來源：金管會提供。

4.行政院及所屬機關開發之醫療App允宜研議增加安全性選測項目之可行性，以確保民眾資料運用之安全性：為維護行動應用程式之安全開發品質，避免造成使用者資料外洩或財務損失之風險，行政院積極推動行動應用App基本資安規範與檢測制度，並責由經濟部工業局訂頒「行動應用App基本資安規範」，各目的事業主管機關可依業管產業、場域及專業技術特性，自行參採或增調App基本資安規範。惟經審計部查核發現，行政院及所屬機關開發醫療相關App，尚未增加相關選測項目。鑒於近年來受疫情影響，促使視訊診療服務擴大使用，相關單位允宜會同衛福部，就醫療領域App之資安屬性，研議增加選測項目之可行性，以確保民眾個人資料與醫療隱私安全。

5.截至111年底部分機關仍未導入資通安全弱點通報機制，以致未達成分年預定指標，影響計畫執行績效：「數位國家資通安全聯防計畫」子計畫將推動政府機關導入資安弱點通報機制，以加強資通系統弱點之主動發掘、通報及修補列為全程目標，且資通安全管理法雖已將資通安全弱點通報機制納入應辦事項，然據資安署資料顯示，截至111年底仍有部分機關未配合導入，致無法達成分年預定指標，亦未能有效掌握資安風險，影響計畫年度執行績效。

綜上，「資安跨域整合聯防計畫」之推動係為實現第6期「國家資通安全發展方案」所規劃之相關策略，鑒於該計畫執行期限於113年度即將屆滿，允宜強化相關資安配套措施，俾提升我國整體資安防護韌性，實現安全智慧國家之遠景。

(分機：1930 芮家楨)