数位时代的资安强化：资安法修正草案概览

　　资通安全管理法(以下简称资安法)自2018年6月6日制定公布，并于2019年1月1日起施行至今。随着资通讯科技日新月异，资安威胁也日益加剧，为了加强对资安的保护，数位发展部宣布修正资安法。修正草案包含哪些内容？将为资安管理带来什么影响？本文带您抢先了解！

---

资安法修正草案概观

　　资安法修正草案主要包含五大重点：

1.主管机关调整与机构强化

　　主管机关从原本的行政院，更改为数位发展部，执行机关则为资安署，并且设置资通安全会报，除了强化政策推动的一致性，亦能增加横向沟通与联防机制，应对日益复杂的资安挑战。

2.公务机关禁止使用危害资通安全产品

　　草案中除了规范公务机关不得採购或使用危害资通安全的产品，并将此原则提升至法律层级。同时，为避免使用藏有后门或木马程式的危害产品，公务人员使用的公务设备也被明确禁止下载、安装或使用危害资通安全的产品，以进一步确保安全性。

3.强化公务机关资安与引入地方联防

　　为提高公务机关的资安水平，修正草案引入地方联防及分层监管模式，当稽核机关发现资安维护计画有缺失时，除了向该机关提出改善报告之外，亦需向资安署汇报。

4.强化特定非公务机关的资安管理

　　草案中最重要的改变之一是，要求特定非公务机关（如银行、电信业者），设立资通安全长，提高资安治理层级。同时，各相关部门被授予进行行政调查的权限。当发生重大资安事件时，应公告处理状况与内容，并对试图逃避、阻挠或拒绝行政调查的行为处以NTD 10万～100万的罚款。若涉及个资外洩的资安事件，则按个资法处理，以确保当事人权益。

　　此举措与近年证交所对上市柜公司提出设立资安长的要求一致，进一步凸显了资安管理必须由公司高层主管主导。另外，此次也将行政检查的程序和范围纳入法制，避免行政机关滥用权力。

5.增订政府机关资安人员类一条鞭制度

　　公务机关应拥有符合资通安全责任等级的专职资通安全人员，并由资安署负责推动资安人员的职能训练，以应对重大资安事件。

 

　　数位部表示，本次修法适用范围仍以公部门及特定非公务机关为主，包含关键基础设施及公营事业或特定财团法人，尚无扩及一般企业。修法的精神在于透过法制面，强化公私部门的资安体质，建立资安共治的基础，提高台湾整体资安韧性。

 

资安法修正的影响

　　资安法的修正对于资通安全管理影响深远，首先，公务机关在资安管理上将更明确，机制也更灵活。再者，特定非公务机关需加强资安管理，并增设资安长，将提高相应机构应对资安挑战的能量。而引入地方联防及分层监管模式之后，资安管理不仅是中央的责任，也强化了地方的参与，形成全方位的保护网，可说是数位时代资安保护的一大进步。

 

结语

　　去年曾在本刊介绍使用鱼叉式钓鱼邮件散播的伪造邮件，以及冒名高管寄发诈取款项的 BEC诈骗邮件、供应链管理的资安影响、生成式AI带来的新资安挑战与风险…等，皆突显企业必须持续提高资安警觉，并协助员工建立正确的防护观念，毕竟外在环境难以控制，唯有提前做好准备、建立团队共识，才能化危机为转机，确保企业持续成长茁壮。此次资安法修订范围虽未扩及一般企业，但仍彰显政府对于资安威胁的重视，同时提供了更完善的法规基础，期待透过全民共同努力，建立更坚固的资安防线，迎接未来数位时代的挑战。

 

*图片来源：Freepik

#