跳到主要內容區塊
:::

外交部主管113年度單位預算評估報告

Facebook twitter Plurk print
一、部分駐外館處有未依規定頻率辦理資安健檢,及使用資通訊設備存在資安疑慮情形,資安防護允待積極提升 日期:112年10月 報告名稱:外交部主管113年度單位預算評估報告 目錄大綱:壹、外交部 資料類別:預算案評估 作者:陳燕玲

外交部113年度預算案於「一般行政」業務計畫「資訊處理」工作計畫編列6,106萬5千元,另於「外交管理業務」業務計畫「基本行政工作維持」工作計畫編列577萬元,用以強化該部資通安全防護,然近年相關資安管控容有待改善精進之處。謹說明如下:

(一)外交部資安健診發現駐外館處使用資通訊設備存有資安疑慮廠牌等多項違規情事

行政院為強化各機關資通安全防護,降低國家資通安全風險,陸續於108及109年度通函各機關落實資通訊產品盤點及處置,禁止使用危害國家資通安全產品,要求於110年底前,完成汰換所使用或採購中國大陸廠牌資通訊產品作業,並配合擴大盤點。外交部因業務屬性機敏,常為駭客攻擊之目標,且駐外館處受限於駐地資訊環境非由我方掌控,於108年度資通安全管理法施行後,為強化該部及駐外館處網路安全環境,每年持續編列預算進行駭侵監控防衛系統維運、資訊安全管理制度稽核驗證及採購相關資訊軟、硬體等資安防護作業,113年度預算案持續編列6,683萬5千元,較108年度預算3,334萬2千元已成長1倍(詳表1)。

惟據該部近年赴駐外館處督考情形,經資安健診發現有公務電腦連接私人裝置(含手機)、電腦存在高風險程式等多項違規情形(詳表2)。另112年1月調查駐外館處公用資通訊設備或使用電信服務情形,其中使用資通訊設備有行政院認定存在資安疑慮廠牌者,為駐奧克蘭辦事處等 14 個駐外館處;另電信服務由有資安疑慮業者提供者,為駐西班牙代表處等 19 個駐外館處;同時符合上揭 2 項情事者,為駐西班牙及駐智利代表處;且其中不乏屬資安A級之重點館處,如駐英國代表處等(詳表3)。

表1 108至113年度外交部強化資通安全防護相關預、決算情形表

單位:新臺幣千元

年度

項目

108

109

110

111

112

113

資訊服務

預算數

17,527

23,519

27,548

26,718

26,200

27,503

決算數

21,962

24,898

26,718

27,593

3,627

-

軟體購置

預算數

5,594

4,275

4,050

4,400

4,400

4,500

決算數

4,725

4,050

4,399

4,399

4,399

-

硬體購置

預算數

4,500

30,572

29,570

28,668

32,825

29,062

決算數

4,351

34,356

28,778

38,713

1,747

-

資安健檢

預算數

5,721

5,677

5,770

5,770

5,770

5,770

決算數

5,929

212

576

3,134

1,346

-

合計

預算數

33,342

64,043

66,938

65,556

69,195

66,835

決算數

36,967

63,516

60,471

73,839

11,119

-

說 明:112年度決算數係截至8月底止實支數。

資料來源:外交部。

表2 外交部辦理駐外館處資安健診發現違規情形表

項次

違規情形

1

安裝未奉核之軟體。

2

作業系統及相關軟體版本老舊。

3

公務電腦連接私人裝置(含手機)。

4

未安裝防毒軟體。

5

電腦存在高風險程式。

6

使用者誤開啟社交工程郵件。

7

帳號密碼張貼於明顯處。

8

印表機未關閉無線網路。

資料來源:審計部審核外交部111年度財務收支及決算之審核通知。

表3 外交部駐外館處使用大陸資通訊產品或電信服務情形表

狀態

駐外館處

屬資安A級者

使用資安疑慮資通訊設備

駐奧克蘭、愛丁堡、駐檀香山辦事處、駐巴拉圭大使館、駐俄羅斯、菲律賓、秘魯、阿根廷、英國、印度、智利、約旦、索馬利蘭、西班牙代表處等14個。

駐英國、印度代表處

使用資安疑慮業者提供電信服

駐吐瓦魯、聖克里斯多福及維尼斯、貝里斯、海地大使館、駐澳門、杜拜辦事處、駐馬來西亞、芬蘭、汶萊、南非、智利、索馬利蘭、緬甸、哥倫比亞、阿曼、科威特、斐濟、西班牙代表處、駐汕埠總事館說明1等19個。

駐馬來西亞代表處

說 明:1.駐汕埠總事館於112年3月斷交撤館。

2.資安A級指電腦數量 50 臺以上者。

資料來源:審計部審核外交部111年度財務收支及決算之審核通知。

(二)近年外交部有未按規定頻率辦理重點館處資安健診之情形

為推動強化駐外館處資通安全防護,外交部每年皆派團赴駐外館處進行資安督考,督考內容包含執行資安防護強化計畫(資安健診)、資安技協、資訊官教育訓練等;督考方式係擇定資安 A 級重點館處,以每2至3年執行1次資安健診為原則,資安技協則視駐外館處需求與資安防護之必要性,派員協助排除資訊作業環境之疑難障礙,並執行資安稽核及防護等工作。

揆近年外交部赴駐外館處督考情形(詳表4),在資安健診方面,自108年至112年8月底止該部22 個A級重點館處,除駐加拿大代表處執行2次外,駐美國代表處等11個館處僅執行1次,而駐日本代表處等共10個館處則連續4年未執行,占A級重點館處總數45.45%;甚有駐印度代表處等11個館處連續3年以上皆未執行資安健診及資安技協,占A級重點館處總數50.00%,顯未落實前揭規範,且不利重點館處資安防護,恐成為整體資安防護缺口。

表4 108年至112年8月底止外交部派員赴22 個A級重點館處檢測資訊作業環境情形表

檢測情形

駐外館處

執行2次資安健檢者

駐加拿大代表處。

執行1次資安健檢者

駐美國、新加坡、泰國、印度、澳大利亞、英國、德國代表處、駐芝加哥、紐約、洛杉磯、舊金山辦事處等11個館處。

連續4年未執行資安健檢

駐日本、韓國、菲律賓、越南、馬來西亞、印尼、法國、歐盟兼駐比利時代表處,以及駐大阪、胡志明市辦事處等10個館處。

資安健檢及技協者連續3年皆未執行

駐日本、菲律賓、越南、馬來西亞、印尼、印度、澳大利亞、法國、歐盟兼駐比利時、德國代表處、駐胡志明市辦事處等11個館處。

資料來源:外交部提供。

綜上,外交部業務多屬機敏性質,且駐在國電信服務處於相對高風險之資安環境,惟該部未按規定頻率辦理重點館處資安健診,且部分駐外館處使用資通訊設備容有資安疑慮等情形,恐不利重點館處資安防護,允待檢討改善,以建構安全資訊環境。


下載

一、部分駐外館處有未依規定頻率辦理資安健檢,及使用資通訊設備存在資安疑慮情形,資安防護允待積極提升-附件1(doc) (odt) (pdf)
2023-10-01