【特派記者凃珮雅/台中報導】臺中市議會18日民政業務質詢,市議員江肇國指出根據「資通安全責任等級分級辦法」規定,台中市所屬機關233個中,列級B級有8個、C級44個、D級135個、E級36個,但江肇國詢問現場官員,居然只有社會局及人事處長知道自己機關的資安列級,痛批「資訊安全不是研考會一個局處的事,顯然台中市全府都在資安狀況外,實在離譜!」
根據「資通安全責任等級分級辦法」,台中市政府223的機關都有各自的資安分級。但江肇國詢問包括府本部,包含民政局、勞工局、秘書處、社會局、人事處、中區公所、生管處等現場出席的局處首長,除了社會局和人事處外,在場副市長和局處首長竟無一人了解自己機關的等級。
江肇國批評,連等級都不知道,如何進行相關資安的要求?江肇國也說明,機關依照分級不同皆訂有管理面、技術面及認知與訓練等不同的規範與要求,不知道等級等於不知道相關規範,資安工作都是空的!
江肇國接著詢問民政局長去年接受多少小時的資安訓練,民政局長依然答不出來,江肇國憂心,如果連局處首長都沒有接受資安訓練,又如何要求局處同仁呢?這些局處首長恐怕會是台中市政府資訊安全的最大漏洞與破口。
江肇國也指出,根據資通安全責任等級分級辦法,B級機關應配置2位、C級機關1位專職的資安人員,但現在市府仍有10個機關無法達成要求。資安預算上,今年度台中市政府的資安預算含中央補助款只有3778萬元,未能達等體資訊預算的10%。
而資通安全責任等級分級辦法中,要求政府標案必須不得採購危害國家資通安全的產品,且系統安全應導入CNS27001或ISO27001等標準,這些標案要求各局處也都未納入標單限制。
江肇國質疑,人力不足,預算短缺,相關規定不明瞭,台中市政府如何建立可靠的資訊安全網呢?江肇國要求副市長即刻檢討相關缺失,補起台中市的資安漏洞。