資通安全管理法（全文修正）重點摘要

# 資通安全管理法規體系修法總整理 (114-115年版) :::info **版本資訊** - **母法**：資通安全管理法修正草案 (114/8/29) - **施行細則**：修正草案 (115/1/5) - **責任等級分級辦法**：修正草案 (115/1/7) - **配套子法**：通報應變、稽核、情資分享、產品審查辦法 (115/1) **摘要**：本次修法因應數位發展部成立，全面調整主管機關權責，提升「危害國家資通安全產品」管控位階，加重特定非公務機關罰則，並在技術層面（分級辦法）要求導入 EDR、MFA 及延長核定週期。 ::: [TOC] --- ## 壹、母法與施行細則核心變動 ### 1. 主管機關與權責調整 * **主管機關**：由行政院變更為 **數位發展部**。 * **執行機關**：數位發展部指定 **資通安全署** 辦理。 * **資安會報**：行政院定期召開，由院長或副院長擔任召集人。 * **指定程序**：指定「受政府控制之事業、團體」為納管對象前，**必須給予陳述意見之機會**。 ### 2. 危害國家資通安全產品（禁用中國製產品） * **法律位階提升**：從行政規則提升至法律層級。 * **公務機關**：原則 **不得** 下載、安裝或使用；例外需經資安長核可並報主管機關核定。 * **特定非公務機關**：中央目的事業主管機關 **得限制 or 禁止** 其使用。 * **審查辦法 (New)**： * 採「風險導向」評估。 * 若確認為 **「大陸廠牌」** (含中資實質控制)，主管機關得 **逕行認定** 為危害產品並進行情資分享。 ### 3. 委外管理與人員查核 (加嚴) * **廠商資格**：受託者應具備完善資安措施或 **通過第三方驗證**。 * **適任性查核**：委外業務涉國家機密者，執行人員查核項目 **新增**： * **妨害電腦使用罪** (刑法第36章)：曾受有罪判決確定，或 **通緝有案尚未結案者**。 ### 4. 重大資安事件定義與罰則 * **民間重大事件定義** (特定非公務機關)： 1. 核心業務資訊遭嚴重洩漏。 2. 核心資通系統遭嚴重竄改。 3. 核心資通系統運作停頓，**無法於可容忍中斷時間內回復正常**。 * **罰則加重** (針對特定非公務機關)： | 違規行為 | 罰鍰金額 (新臺幣) | 備註 | | :--- | :--- | :--- | | **未通報** 資安事件 | **30萬 ~ 1,000萬** | 屆期未改正得按次處罰 | | **未訂定** 維護計畫/未提改善報告 | **10萬 ~ 500萬** | | | **規避、妨礙** 調查 | **10萬 ~ 100萬** | 含拒絕提供資料或現場檢查 | --- ## 貳、資通安全責任等級分級辦法 (技術面修正) ### 1. 行政週期與流程 * **核定週期**：由每 2 年改為 **每 3 年** 核定一次。 * **地方議會**：直轄市、縣(市)議會改為 **直接報請主管機關 (數發部) 核定**，不再透過地方政府。 ### 2. 應辦事項緩衝期 (Appendix 1-8) * **一般事項**：初次核定或等級變更後 **1 年內** 完成。 * **ISMS 導入**： * **2 年內**：全數核心系統導入。 * **3 年內**：通過公正第三方驗證。 ### 3. 重點技術導入要求 (A/B級機關) * **EDR (端點偵測及應變機制)**：明確列為應辦事項，需持續維運並依指定方式提交偵測資料。 * **MFA (多因子鑑別)**：資安專職人員、遠端存取等高風險場景強制要求。 ### 4. 資通系統防護基準 (Appendix 10) 調整 | 控制構面 | 修正重點 | 備註 | | :--- | :--- | :--- | | **帳號管理** | **閒置/臨時帳號**管理由「高」級下修至「中/普」級。 | | | **遠端存取** | 來源限制要求由「高」級下修至 **「中」級**。 | | | **日誌 (Log)** | 明確規範日誌留存時間至少 **6 個月**。 | | | **識別鑑別** | 「多重認證」名詞修正為 **「多因子鑑別」**。 | | | **密碼原則** | 預設密碼登入後強制變更；重設密碼需用 OTP 等符記。 | | | **備份演練** | 備份/備援機制納入 **營運持續計畫 (BCP)** 演練一部分。 | | --- ## 參、四大配套子法修正重點 ### 1. 資通安全事件通報應變及演練辦法 * **名稱變更**：加入 **「演練」** 二字，法制化演練要求。 * **通報時效**：知悉事件後 **1 小時內** 至主管機關指定系統平臺通報。 * **演練頻率**： * **社交工程演練**：每半年 1 次。 * **通報及應變演練**：每年 1 次。 * **保密義務**：參與演練人員獲知之機敏資訊負有保密義務。 ### 2. 資通安全維護計畫實施情形稽核辦法 * **名稱變更**：刪除「特定非公務機關」，適用範圍擴大。 * **分層稽核**： * 上級機關應每年訂定稽核計畫。 * 公務機關負責稽核其 **所屬、所監督、所轄** (如鄉鎮公所) 機關。 ### 3. 資通安全情資分享辦法 * **獎勵機制**：分享之情資若經認定足以 **防止其他機關發生事件** 或 **降低損害**，主管機關得予以獎勵。 * **回饋義務**：接收情資機關應進行分析並採取對應措施，必要時需回報辦理情形。 ### 4. 危害國家資通安全產品審查辦法 * **大陸廠牌快篩**：若產品為 **大陸廠牌** (含中資實質控制)，主管機關得 **逕行認定** 為危害產品並進行情資分享，無需召開複雜審查會議。 * **處置措施**： * 公務機關接收情資後應盤點。 * 若有使用應立即移除/停用；無替代方案者需專案核准。 --- ## 肆、附表：新舊制對照速查 ### 罰則比較 (特定非公務機關) | 項目 | 舊制 | **新制** | | :--- | :--- | :--- | | 未通報資安事件 | 30萬-100萬 | **30萬 - 1,000萬** (可按次) | | 未訂維護計畫 | 10萬-100萬 | **10萬 - 500萬** | | 妨礙公務調查 | (無明確規定) | **10萬 - 100萬** | ### 重大時程變更 | 項目 | 變更內容 | | :--- | :--- | | **資安責任等級核定** | 每 2 年 → **每 3 年** | | **日誌保存 (Log)** | 規定不明 → **至少 6 個月** | | **通報時限** | 知悉後 1 小時內 (強調 **系統平臺** 通報) |