一、      前言

我國自2000年開始推動電子化政府計畫，期經由資通訊技術協助政府進行轉型，提昇效率，強化便民服務，並進一步帶動產業發展，而在推動電子化政府的過程中，要建立可信任可信賴隨時可用的政府服務，實有賴於安全的資訊基礎建設，因此自2001年起，即以每4年為一期，推動政府資通安全基礎架構，各期推動重點略以：

1.     第一期：建構資安防護體系，完成政府機關分級機制;

2.     第二期：建構資安防護力，成立國家資安作業中心；

3.     第三期：強化資安整體應變能力，精進通報應變機制；

4.     第四期：強化資安防護管理、聯防監控機制與資安情報分享。

在此4期共計16年的推動歷程中，逐步建立行政體系整體資安防護機制，然而在推動組織及法律架構上，係以行政院國家資通安全會報為推動主體，以任務編組方式設立行政院資安辦擔任幕僚，以委外專案成立技術服務中心擔任技術幕僚，以行政命令要求行政院及所屬落實資安要求，缺乏一個正式的組織及法律架構，因此在推動上仍有其不足之處。

2017年起在「資安即國安」的施政理念之下，考量資安防護並非由行政機關獨立完成即可，涉及國家及社會運作之關鍵基礎設施亦是整體防護之一環，且考量資通訊技術之快速演變，資安防護應從更高更完整之架構來推動，為落實資安即國安的理念，即於行政院內設置正式之行政院資通安全處，並以推動完成資通安全管理法為優先任務，期能為未來數位政府奠定安全穩定之基礎，爰訂定後續發展方案：

5.     第五期：推動資通安全管理法，完備國家資安聯防體系；

6.     第六期：打造堅韌安全之智慧國家；

7.     第七期：建構信賴安全之數位社會。

我國資安推動進程如下圖所示。

圖：我國資通安全推動進程(資料來源：資通安全署)

二、      立法理念及策略

資通安全管理法涉及的不只是治理面的議題，還涵括快速進步的資通訊技術，因此在立法時必須考量技術演進下的因應措施，避免因為法律的限制從而無法因應技術的發展，乃至限制技術的進步。

在推動立法時的核心理念主要有下列項目：

1.     法律必須以風險管理做為資安推動的核心。

2.     法律的條文必須可以落實，要讓納管機關可以執行，不可以讓機關違法。

3.     法律施行後必須讓所有納管機關逐漸達成一致性和標準化，整合現有流程，降低衝擊。

基於前述的核心理念，推動立法的策略主要有下列各項：

1.     母法以原則為主，具體執行項目則明示於各子法。因此母法可以維持穩定性，而各子法可以隨著科技進步，每年進行檢討及調整。

2.     於子法中明定各項程序，並發佈文件參考範本供各納管機關參考，達成一致性。

3.     採取漸進式實施步驟，關鍵基礎設施提供者於法律施行後1年內依程序納管。

4.     以先通過及施行法律為原則，後續期能以每2年至3年檢討條文，逐步擴大納管對象。

爰此推動策略及核心理念，資通安全管理法草案在和各界溝通，及和立法院多次說明後，於2018年三讀通過完成立法，並於2019年正式施行 (以下稱2019年資安法)。

三、      施行情形檢討

2019年資安法的主管機關明定為行政院，考量行政院係行政體系最高機關，因此在法律中多處條文均從行政院的角度律定執行方式，因此對所屬機關的稽核、資通安全維護計畫的提報、資安責任等級的分類分級，以及資安事件通報等，在行政體系遵循固有的行政運作機制即可順利運作，因此在子法的部分，僅針對關鍵基礎設施中非屬政府之財團法人或公營事業，特別訂定特定非公務機關資通安全維護計畫實施情形稽核辦法，賦予資通安全維計畫的訂定及實施情形執行，以及接受稽核的義務。

觀察自2019年資安法施行以來，在實務上遇到的挑戰略有下列項目：

1.     在稽核程序中，考量行政院為2019年資安法之主管機關，對行政院及所屬及所監督各公務機關即有稽核之權利；然對於行政院以外之府會4院、直轄市政府、縣(市)政府、議會、山地原住民區公所、區民代表會、鄉(鎮、市)公所，以及鄉(鎮、市)民代表會等，則無稽核之權利，通常係以協調方式進行稽核，在效力上恐有未及之處。

2.     經由多次重大事件觀察，考量政府機關委外風險偏高，為強化公務機關委外管理，爰由行政院訂定「資通系統籌獲各階段資安強化措施」，規範公務機關於採購、委任，及委託等各類資通系統籌獲應注意事項，藉以強外委外管理作為，降低委外風險。此外並協調行政院公共工程委員會，將承作業者之資安通報義務、受稽核義務、資安維護責任等亦納入採購契約中，賦予委外廠商應遵守之資安責任。

3.     考量資通產品(含硬體、軟體、服務)可接觸機關之機敏資料及系統，為降低資料及資訊外洩風險，強化政府資安防護，爰由行政院訂定「危害國家資通安全產品限制使用原則」，並發佈函釋各機關，公務用之資通訊產品不得使用大陸廠牌。

4.     公務機關明訂設置資安長，至特定公務機關則建議設置資安長，然而隨著資安威脅逐日加劇，各納管機關均應設置資安長，並建立公私協防機制為宜。

5.     考量2019年資安法立法時，財團法人法尚未通過，因此於條文中明確列出納管之財團法人係為政府捐助之財團法人，其營運及資安運用計畫應依預算法第41條第3項規定送立法院，及其年度預算書應依同條第4項規定送立法院審議之財團法人。俟後財團法人法立法完成並施行，為避免於資安法中另行定義，應回歸財團法人法之定義為宜。

此外配合2022年數位發展部、資通安全署，及國家資通安全研究院之設立，資通安全法移由數位發展部主管，惟僅以管轄權移轉之方式，將2019年資安法之條文部分移由數位發展部主管，部份仍由行政院主管，在執行上實有困難之處，對納管機關亦有難已遵行之處，且條文中涉及主管機關對所屬機關稽核及要求事項，亦需明確釐清以利執行；再加上外部環境變化及技術演進，資安情勢遠較昔時嚴峻，委外安全也已擴大至供應鏈安全議題，資通訊產品之使用亦應以法律明確訂之，使各機關明確遵循。爰此2019年資安法勢須修法以解決上述問題，進一步完善資安法制。

四、      資通安全管理法修法說明

考量2019年資安法施行至今，公務機關已符合法律要求，且特定非公務機關亦已逐步導入正軌，衡量上述施行期間之挑戰，並因應環境及技術之演進，以及配合數位發展部成立，實有必要調整2019年資安法條文，以進一步強化資安管理，維護政府及社會安全。因此數位發展部爰於2024年7月開始進行調整，於2025年8月底由立法院三讀完成修正條文，並於2025年12月1日正式施行。

本次修法之目標及重點摘述如下：

1.     明確機關權責，定明規管範圍：主管機關修正為數位發展部，指定資安專責機關為資通安全署；配合財團法人法施行，修正特定非公務機關之定義；增加納管對象，受政府控制之事業團體或機構。

2.     明訂協助事項，完善監督機制：協助民間處理、因應及防範重大資通安全事件；強化國家資通安全會功能，增訂「國家資通安全會報設置辦法」；明定機關權限委託及協調之法規依據。

3.     強化資安人力，增訂查核機制：公務機關部分，增訂適任性查核、職能訓練、及調度支援等，並修訂「公務機關所屬人員辦理資通安全事項作業辦法」；在特定非公務機關部分，設置專職人員及資安長，及對所屬人員獎懲。

4.     擴大稽核範圍，強化資安管理：強化危害國家資安產品管制，增訂「危害國家資通安全產品審查辦法」；公務機關強化聯防體系，落實分層監督管理，修訂「資通安全維護計畫實施情形稽核辦法」；特定非公務機關增訂重大資安事件調查權限，修訂「資通安全事件通報演練及應變辦法」。

 

此外配合數位發展部成立，也明確定義各層級之資安責任及範圍：

1.     行政院負責整體決策；

2.     數位發展部依據行政院政策，規劃推動國家資安政策等相關事宜；

3.     資通安全署負責規劃執行，辦理國家資安業務；

4.     公務機關監管所屬、所監督、所轄，及所管公務機關之資安管理；

5.     中央目的事業主管機關負責所管特定非公務機關，落實資安法遵義務。

6.     國家資通安全研究院以提升國家資通安全科技能力、推動資通安全科技研發及應用為職責。

在本次修法後之2025年資安法已明確改善2019年資安法未及之處，且進一步建立整體決策、規劃、執行、監督、研發等權責及角色，並將政府控制之事業團體或機構納入，應能提升我國整體資安防護能力。

五、      未來強化建議

如前面所述，資通安全管理法之立法策略係採取漸進式實施步驟，務必條文均能落實可行，避免陷納管機關未能依法行政，至有違法之虞；且預考量技術演進速度，不宜因法律限制至未能採行最新科技進行防護，因此2025年資安法之修法內容，實能符合當前所需。若考量下次修法週期時之環境，建議應從整體法律架構角度，分別就下列進行考量：

1.     關鍵基礎設施之定義宜有法律依據。目前資通安全管理法第3條第1項第7款定義之關鍵基礎設施，係由行政院定期檢視及公告，雖其定義及認定方式係由行政院國土安全辦公室依據國土應變綱要進行認定，惟考量關鍵基礎設施對國家影響甚鉅，且資通安全管理法之納管對象為關鍵基礎設施提供者，為使關鍵基礎設施及其提供者有明確之認定程序，賦與應用之權利義務及責任，建議應有專法就關鍵基礎設施之定義、認定方式、權利義務、防護責任等予以明確律定，完備整體法制作業。

2.     危害國家資通安全產品之規範宜另有專法處理。目前從2019年資安法授權發佈之行政院「危害國家資通安全產品限制使用原則」，及2025年資安法增訂之條文及「危害國家資通安全產品審查辦法」，均以資通安全產品為主體，考量除資通安全產品外，尚有其他涉及經濟或產業、高科技或敏感科技、人才及技術，以及營業秘密等各項議題，亦屬國家安全之範疇。因此若從整體國家安全的角度考量，實有必要將危害程度分類分級，並依照分類分級訂定管制程度、範圍，及施行期程，若有國家對我國有致發生危害的情形或考量時，即得依法公佈等級，各項管制措施及配套措施即能依法自動生效，在法律效果上亦較能明確可遵循。

3.     預防性稽核之考量。2019年資安法立法時，原有主管機關在考量有重大資安事件發生之虞時，得以預防性方式，對納管機關實施稽核。惟當時立法時考量本條文之效果及衝擊頗大，且未有對應之制衡措施，恐有侵犯企業權利之虞，因此最終刪除該條文。而在2025年資安法中雖已增加對特定非公務機關之重大資安事件調查權限，然本條文係以已發生重大資安事件為前題，和前述預防性稽核之實質涵義實有差異，仍以事後調查及應處主。而為考量若納管機關之資安管理顯有不足或重大缺失，或因情蒐/情資交流而有明確掌握納管機關已有發生重大資安事件的疑慮時，宜於資通安全管理法中增列此預防性稽核之程序為佳。而為避免主管機關或中央目的事業主管機關引用浮濫，宜妥為設計發動要件、受稽方權利義務、主管機關或中央目的事業主管機關之審核、獨立第三方之審議、權利侵犯之防制等程序，將資安事件處理從被動式的事後應處，翻轉為事前之主動阻卻，對整體資安防護實有重大效益。

4.     目前排除適用之軍事及情報機關。2019年資安法中排除軍事機關及情報機關適用資通安全管理法，主要考量是資通安全管理法以風險管理為核心理念，而軍事及情報機關其業務敏感性和關鍵性，遠較資通安全管理法之納管機關為高，實應以資通安全管理法為最低要求，另行訂定符合該等機關業務特性之更高要求；而在2019年資安法中排除該等機關適用後，並未於適當條文加入對該等機關之要求，或授權該等機關另行訂定合宜之辦法等，亦未就訂定後之檢核及核備等機制明確律定，在制度上實無法要求該等機關落實合於業務特性之資安管理作為，從風險管理的角度而言，應在未來調整時加入本項要求為宜。

 

六、      結語

資通安全管理法的關鍵重點是「落實」，雖然是以法律形式提昇國家及社會之整體安全，但其內涵是以風險管理為核心，以政策面、管理面，及技術面等3個角度切入，從事前、事中，及事後等3階段確保機關能真正落實各項程序，採計畫、執行、檢查，及行動之管理循環來執行資安管理，並以稽核來確認實際落實的情形。因此在探討資通安全管理法時，不宜僅從文字解釋來詮釋，更應以實際執行的考量，確保資安風險管理之落實。

期許資通安全管理法本身也能以管理循環為基礎，定期調整規範，並視技術及環境之變化適時強化執行項目，如此我國資安防護定臻完善。

 

【作者簡介】

簡宏偉(Howard H. Jyan)，社團法人台灣E化資安分析管理協會副理事長，國立中正大學資訊工程大學資訊工程碩士，東吳大學法學碩士。專注於資訊安全、網路安全、資通安全管理系統(ISMS)稽核、資通安全法規、資安治理、工作流程改造、新興科技風險管理、組織改造等議題，並具有豐富的公務機關資訊實務及跨機關協調經驗。曾任行政院資通安全處處長、國家發展委員會資訊管理處處長、及行政院研究發展考核委員會副處長等。現任勤業眾信聯合會計師事務所顧問業務服務資深執行副總經理，及高科技、媒體及電信產業負責人。