總統於2025年9月24日公布立法院於2025年8月29日三讀通過之資通安全管理法修正條文,惟施行日期尚待行政院訂定。
資通安全管理法自2018年6月6日公布並於2019年1月1日施行以來,已歷經六年餘,本次修正為資通安全管理法自2019年施行以來首次修正。簡單比較資通安全管理法之新舊版本如下…
除了以上差異,也將修法後的重點整理如下:
一、明訂公務機關不得下載、安裝或使用危害國家資通安全產品
現行公務機關依《各機關對危害國家資通安全產品限制使用原則》規範,原則上不得下載、安裝或使用危害國家資通安全的產品(下稱「危害資安產品」)。本次修正將此規範提升至法律位階,並授權數位發展部訂定審查程序及相關細節。此外,本次修正授權中央目的事業主管機關得限制或禁止特定非公務機關使用危害資安產品。
二、 擴大對機關之稽核措施
為協助公務機關檢視自身資通安全維護計畫實施情形,增訂數位發展部得稽核公務機關。如稽核後認有缺失或待改善事項,該機關應提出改善報告給上級或監督機關,無上級或監督機關者,應提供給指定收受其改善報告之機關(下統稱「指導機關」)。為使指導機關得對受稽核機關進行監督及指導,本次修正增訂指導機關認有必要時,得要求受稽核機關進行說明或調整,俾使其得就缺失或待改善事項妥為處理。
三、訂定書面委外契約,配合資通安全演練作業
為強化機關落實委外監督管理,本次修正明定各機關如委外辦理資通安全相關業務,應與受託者簽訂書面契約,載明權利義務以及違約責任。另外,機關應配合數位發展部之規劃辦理資通安全演練作業。
四、強化資安人員專業與適任性查核
因資通安全人員之專業知能,與公務機關資通安全防護能量有密切關係,本次修正強化專職資安人員的配置與職能訓練,並對任用考試通過者進行適任性查核。拒絕查核或查核未通過者不得處理涉及國家機密、軍事機密及國防秘密之資通安全業務。
五、特定非公務機關應設置資通安全專職人員、資通安全長
為確保資安防護量能,避免其他業務排擠資安作業,本次修正要求符合特定資通安全責任等級之關鍵設施提供者以及特定非公務機關,設置資通安全專職人員辦理資通安全業務。此外,比照原資安法對公務機關之要求,本次修正亦要求特定非公務機關設置資通安全長,負責推動及監督資通安全相關事務。
六、 中央目的事業主管機關於重大資通安全事件之監督權責
本次修正新增中央目的事業主管機關調查特定非公務機關發生之重大資通安全事件之權限,包括通知當事人或關係人到場陳述意見、提出第三方報告,或派員實施必要檢查。如當事人或關係人規避、妨礙或拒絕,則裁處新臺幣10萬元至100萬元罰鍰。
七、提高非公務機關違反安全維護義務的罰則
針對未依資安法通報資通安全事件,提高罰鍰上限至新臺幣1,000萬元。此外,如違反資通安全維護計畫、通報及應變機制相關規定,經中央目的事業主管機關限期改正而未改正者,提高罰鍰上限至新臺幣500萬元。
參考網站: