The English version is AI translated.

Continue
本期索引

2024年01月號 乐活职人

数位时代的资安强化:资安法修正草案概览

远东新世纪 / 简筠茹
播放语音

  资通安全管理法(以下简称资安法)自2018年6月6日制定公布,并于2019年1月1日起施行至今。随着资通讯科技日新月异,资安威胁也日益加剧,为了加强对资安的保护,数位发展部宣布修正资安法。修正草案包含哪些内容?将为资安管理带来什么影响?本文带您抢先了解!


资安法修正草案概观

4012801

  资安法修正草案主要包含五大重点:

1.主管机关调整与机构强化

  主管机关从原本的行政院,更改为数位发展部,执行机关则为资安署,并且设置资通安全会报,除了强化政策推动的一致性,亦能增加横向沟通与联防机制,应对日益复杂的资安挑战。

2.公务机关禁止使用危害资通安全产品

  草案中除了规范公务机关不得採购或使用危害资通安全的产品,并将此原则提升至法律层级。同时,为避免使用藏有后门或木马程式的危害产品,公务人员使用的公务设备也被明确禁止下载、安装或使用危害资通安全的产品,以进一步确保安全性。

3.强化公务机关资安与引入地方联防

  为提高公务机关的资安水平,修正草案引入地方联防及分层监管模式,当稽核机关发现资安维护计画有缺失时,除了向该机关提出改善报告之外,亦需向资安署汇报。

4.强化特定非公务机关的资安管理

  草案中最重要的改变之一是,要求特定非公务机关(如银行、电信业者),设立资通安全长,提高资安治理层级。同时,各相关部门被授予进行行政调查的权限。当发生重大资安事件时,应公告处理状况与内容,并对试图逃避、阻挠或拒绝行政调查的行为处以NTD 10万~100万的罚款。若涉及个资外洩的资安事件,则按个资法处理,以确保当事人权益。

  此举措与近年证交所对上市柜公司提出设立资安长的要求一致,进一步凸显了资安管理必须由公司高层主管主导。另外,此次也将行政检查的程序和范围纳入法制,避免行政机关滥用权力。

5.增订政府机关资安人员类一条鞭制度

  公务机关应拥有符合资通安全责任等级的专职资通安全人员,并由资安署负责推动资安人员的职能训练,以应对重大资安事件。

 

  数位部表示,本次修法适用范围仍以公部门及特定非公务机关为主,包含关键基础设施及公营事业或特定财团法人,尚无扩及一般企业。修法的精神在于透过法制面,强化公私部门的资安体质,建立资安共治的基础,提高台湾整体资安韧性。

 

资安法修正的影响

  资安法的修正对于资通安全管理影响深远,首先,公务机关在资安管理上将更明确,机制也更灵活。再者,特定非公务机关需加强资安管理,并增设资安长,将提高相应机构应对资安挑战的能量。而引入地方联防及分层监管模式之后,资安管理不仅是中央的责任,也强化了地方的参与,形成全方位的保护网,可说是数位时代资安保护的一大进步。

 

结语

  去年曾在本刊介绍使用鱼叉式钓鱼邮件散播的伪造邮件,以及冒名高管寄发诈取款项的 BEC诈骗邮件、供应链管理的资安影响、生成式AI带来的新资安挑战与风险…等,皆突显企业必须持续提高资安警觉,并协助员工建立正确的防护观念,毕竟外在环境难以控制,唯有提前做好准备、建立团队共识,才能化危机为转机,确保企业持续成长茁壮。此次资安法修订范围虽未扩及一般企业,但仍彰显政府对于资安威胁的重视,同时提供了更完善的法规基础,期待透过全民共同努力,建立更坚固的资安防线,迎接未来数位时代的挑战。

 

*图片来源:Freepik

#

回上一页  回单元索引
留言(0)

你可能会喜欢的Recommend

活动分享Events