數位時代的資安強化：資安法修正草案概覽

　　資通安全管理法(以下簡稱資安法)自2018年6月6日制定公布，並於2019年1月1日起施行至今。隨著資通訊科技日新月異，資安威脅也日益加劇，為了加強對資安的保護，數位發展部宣布修正資安法。修正草案包含哪些內容？將為資安管理帶來什麼影響？本文帶您搶先了解！

---

資安法修正草案概觀

　　資安法修正草案主要包含五大重點：

1.主管機關調整與機構強化

　　主管機關從原本的行政院，更改為數位發展部，執行機關則為資安署，並且設置資通安全會報，除了強化政策推動的一致性，亦能增加橫向溝通與聯防機制，應對日益複雜的資安挑戰。

2.公務機關禁止使用危害資通安全產品

　　草案中除了規範公務機關不得採購或使用危害資通安全的產品，並將此原則提升至法律層級。同時，為避免使用藏有後門或木馬程式的危害產品，公務人員使用的公務設備也被明確禁止下載、安裝或使用危害資通安全的產品，以進一步確保安全性。

3.強化公務機關資安與引入地方聯防

　　為提高公務機關的資安水平，修正草案引入地方聯防及分層監管模式，當稽核機關發現資安維護計畫有缺失時，除了向該機關提出改善報告之外，亦需向資安署彙報。

4.強化特定非公務機關的資安管理

　　草案中最重要的改變之一是，要求特定非公務機關（如銀行、電信業者），設立資通安全長，提高資安治理層級。同時，各相關部門被授予進行行政調查的權限。當發生重大資安事件時，應公告處理狀況與內容，並對試圖逃避、阻撓或拒絕行政調查的行為處以NTD 10萬～100萬的罰款。若涉及個資外洩的資安事件，則按個資法處理，以確保當事人權益。

　　此舉措與近年證交所對上市櫃公司提出設立資安長的要求一致，進一步凸顯了資安管理必須由公司高層主管主導。另外，此次也將行政檢查的程序和範圍納入法制，避免行政機關濫用權力。

5.增訂政府機關資安人員類一條鞭制度

　　公務機關應擁有符合資通安全責任等級的專職資通安全人員，並由資安署負責推動資安人員的職能訓練，以應對重大資安事件。

 

　　數位部表示，本次修法適用範圍仍以公部門及特定非公務機關為主，包含關鍵基礎設施及公營事業或特定財團法人，尚無擴及一般企業。修法的精神在於透過法制面，強化公私部門的資安體質，建立資安共治的基礎，提高臺灣整體資安韌性。

 

資安法修正的影響

　　資安法的修正對於資通安全管理影響深遠，首先，公務機關在資安管理上將更明確，機制也更靈活。再者，特定非公務機關需加強資安管理，並增設資安長，將提高相應機構應對資安挑戰的能量。而引入地方聯防及分層監管模式之後，資安管理不僅是中央的責任，也強化了地方的參與，形成全方位的保護網，可說是數位時代資安保護的一大進步。

 

結語

　　去年曾在本刊介紹使用魚叉式釣魚郵件散播的偽造郵件，以及冒名高管寄發詐取款項的 BEC詐騙郵件、供應鏈管理的資安影響、生成式AI帶來的新資安挑戰與風險…等，皆突顯企業必須持續提高資安警覺，並協助員工建立正確的防護觀念，畢竟外在環境難以控制，唯有提前做好準備、建立團隊共識，才能化危機為轉機，確保企業持續成長茁壯。此次資安法修訂範圍雖未擴及一般企業，但仍彰顯政府對於資安威脅的重視，同時提供了更完善的法規基礎，期待透過全民共同努力，建立更堅固的資安防線，迎接未來數位時代的挑戰。

 

*圖片來源：Freepik

#