cybersecurity-law-guide:法規內容、應辦事項、企業合規指南【2025】
- 什麼是資安法?
- 立法背景
- 資安法的目標
- 誰要遵守資安法?
- 資安法核心內容
- 第一章:總則(第 1-4 條)
- 第二章:公務機關資安管理(第 5-9 條)
- 第三章:特定非公務機關資安管理(第 10-15 條)
- 第四章:資安事件通報與應變(第 16-18 條)
- 第五章:罰則(第 19-21 條)
- 資安責任等級詳解
- 公務機關等級
- 特定非公務機關等級
- 各等級應辦事項
- 企業應辦事項清單
- 組織與人員
- 政策與計畫
- 技術措施
- 管理措施
- 教育訓練
- 稽核與改善
- 資安法施行細則重點
- 資安維護計畫內容
- 資安事件等級
- 稽核項目
- 最新修法動態
- 2021 年修法
- 2023-2024 年動態
- 趨勢觀察
- 企業合規建議
- 自我評估
- 合規路徑
- 常見缺口
- 資源投入估算
- 尋求協助
- 常見問題 FAQ
- 一般企業也要遵守資安法嗎?
- 怎麼知道我是不是特定非公務機關?
- 資安法和 ISO 27001 有什麼關係?
- 違反資安法會怎樣?
- 資安事件一定要通報嗎?
- 資安專責人員需要什麼資格?
- 下一步
- 行動清單
- 相關資源
cybersecurity-law-guide:法規內容、應辦事項、企業合規指南
「我們公司要遵守資安法嗎?」
這是很多企業主管的疑問。資安法聽起來很遠,但可能比你想像的更相關。
這篇文章用白話文解讀資安法。
讀完你會知道:法規管什麼、誰要遵守、要做哪些事、不遵守會怎樣。
什麼是資安法?
💡 重點摘要:資安法全名是「資通安全管理法」,2018 年 6 月公布,2019 年 1 月施行。
立法背景
為什麼要有資安法?
資安事件頻傳
近年來,政府機關和關鍵基礎設施頻繁遭受攻擊。
- 政府網站被駭
- 關鍵基礎設施遭攻擊
- 個資大量外洩
沒有法律規範,各機關自行其是,防護參差不齊。
國際趨勢
全球各國陸續制定資安法規:
- 歐盟 NIS 指令
- 美國 NIST 框架
- 日本資安基本法
台灣也需要跟上。
國家安全考量
資安是國家安全的一部分。需要法律層級的規範。
資安法的目標
簡單說,資安法要達成三件事:
- 建立資安責任體系:誰該負責什麼
- 規範資安防護標準:要做到什麼程度
- 落實資安通報機制:出事怎麼處理
誰要遵守資安法?
資安法規範兩類對象:
公務機關
- 中央政府各部會
- 地方政府
- 公立學校
- 公營事業
特定非公務機關
- 關鍵基礎設施提供者
- 公營事業
- 政府捐助的財團法人
「特定非公務機關」是重點。它把資安法的範圍擴大到民間。
資安法核心內容
資安法共 23 條,主要內容如下:
第一章:總則(第 1-4 條)
立法目的
積極推動國家資通安全政策,加速建構國家資通安全環境,以保障國家安全,維護社會公共利益。
名詞定義
- 資通安全:防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害
- 資通系統:用於蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統
主管機關
行政院為主管機關(現由數位發展部資通安全署執行)。
第二章:公務機關資安管理(第 5-9 條)
資安長制度
各機關應設置資安長,由機關首長或副首長擔任。
資安長負責:
- 推動機關資安政策
- 協調資源配置
- 督導資安措施
資安責任等級
公務機關依業務重要性分為 A、B、C、D、E 五級。
等級越高,資安要求越嚴格。
資安計畫與稽核
各機關要:
- 訂定資通安全維護計畫
- 設置資安專責人員
- 定期接受稽核
第三章:特定非公務機關資安管理(第 10-15 條)
核定與公告
中央目的事業主管機關核定特定非公務機關,並公告之。
也就是說,你要被「點名」才算特定非公務機關。
關鍵基礎設施
法規特別強調「關鍵基礎設施提供者」,包括:
- 能源(電力、油氣)
- 水資源
- 通訊傳播
- 交通
- 銀行與金融
- 緊急救援與醫院
- 政府機關
- 科學園區與工業區
這些領域的重要業者,很可能被指定為特定非公務機關。
應辦事項
特定非公務機關應:
- 訂定資安維護計畫
- 設置資安專責人員
- 向主管機關提交資安維護計畫實施情形
- 配合稽核
第四章:資安事件通報與應變(第 16-18 條)
通報義務
知悉資安事件時,應於規定時間內通報。
通報對象:
- 公務機關:向上級機關及主管機關通報
- 特定非公務機關:向中央目的事業主管機關通報
通報時限
依事件等級,有不同的通報時限(詳見後文)。
第五章:罰則(第 19-21 條)
違規處罰
- 未訂定維護計畫:NT$30-500 萬
- 未依規定通報:NT$30-500 萬
- 情節重大:最高 NT$500 萬
限期改善
經通知改善而未改善,得按次處罰。
資安責任等級詳解
資安法最重要的概念之一是「責任等級」。
公務機關等級
| 等級 | 適用機關 | 資安專責人員 | 稽核頻率 |
|---|---|---|---|
| A 級 | 中央部會、直轄市政府 | 4 人以上 | 每年 |
| B 級 | 縣市政府、中央附屬機關 | 2 人以上 | 每 2 年 |
| C 級 | 鄉鎮市區公所 | 1 人以上 | 每 3 年 |
| D 級 | 一般公務機關 | 兼職即可 | 每 4 年 |
| E 級 | 業務單純機關 | 兼職即可 | 依需要 |
特定非公務機關等級
特定非公務機關也分 A、B、C 三級:
| 等級 | 適用對象 | 資安專責人員 |
|---|---|---|
| A 級 | 最重要關鍵基礎設施 | 4 人以上 |
| B 級 | 重要關鍵基礎設施 | 2 人以上 |
| C 級 | 一般特定非公務機關 | 1 人以上 |
各等級應辦事項
A 級
最嚴格的要求:
- 導入資安管理制度(如 ISO 27001)
- 每年執行資安稽核
- 設置 24/7 資安監控
- 進行滲透測試
- 參與資安攻防演練
B 級
- 訂定資安政策
- 每 2 年資安稽核
- 執行弱點掃描
- 建立事件通報流程
C 級
- 基本資安措施
- 每 3 年資安稽核
- 資安意識教育訓練
不確定企業是否符合資安法? 合規要求複雜,漏掉可能面臨罰則。預約合規諮詢,我們幫你檢視缺口。
企業應辦事項清單
如果你是特定非公務機關,要做這些事:
組織與人員
設置資安專責人員
依等級配置專責人員。
注意:
- 要有正式職務任命
- 要參加資安專業訓練
- 建議取得資安證照
建立資安組織
- 指定資安長(建議由高階主管擔任)
- 成立資安推動小組
- 明確各部門資安職責
政策與計畫
訂定資安政策
包含:
- 資安目標
- 適用範圍
- 管理原則
- 違規處理
訂定資安維護計畫
詳細的執行計畫,包含:
- 風險評鑑作法
- 安全控制措施
- 監控與稽核方式
- 持續改善機制
技術措施
基本防護
- 防火牆設置
- 防毒軟體部署
- 存取控制
- 日誌記錄
進階防護(A、B 級)
- 入侵偵測系統
- 弱點掃描
- 滲透測試
- SOC 監控
管理措施
資產盤點
清查所有資通資產:
- 硬體設備
- 軟體系統
- 資料
- 網路架構
風險評鑑
評估各資產的風險:
- 威脅來源
- 弱點分析
- 影響程度
- 風險等級
存取控制
建立帳號密碼管理:
- 最小權限原則
- 定期審核權限
- 密碼政策
- 離職帳號停用
委外管理
如果有 IT 委外:
- 合約要納入資安條款
- 監督委外廠商資安
- 委外人員管理
教育訓練
一般員工
每年資安意識訓練,內容包括:
- 密碼安全
- 釣魚郵件辨識
- 社交工程防範
- 資料保護
資安人員
專業訓練,包括:
- 資安技術課程
- 證照取得
- 參加研討會
稽核與改善
內部稽核
定期自我檢查:
- 政策執行狀況
- 控制措施有效性
- 人員遵循情形
外部稽核
依等級接受主管機關或委託機構稽核。
持續改善
稽核發現的缺失要:
- 擬定改善計畫
- 追蹤改善進度
- 驗證改善成效
資安法施行細則重點
施行細則提供更具體的規定。
資安維護計畫內容
施行細則規定,維護計畫應包含:
- 核心業務及其重要性
- 資通安全政策及目標
- 資通安全推動組織
- 專責人員之配置
- 資通系統之盤點及分級
- 資通安全風險評鑑
- 資通安全防護及控制措施
- 資通安全事件通報及應變機制
- 資通安全情資之評估及因應
- 資通安全稽核機制
- 資通系統或服務委外之管理
- 業務持續運作之規劃
資安事件等級
施行細則將資安事件分為四級:
| 等級 | 定義 | 通報時限 |
|---|---|---|
| 1 級 | 非核心系統受影響 | 72 小時內 |
| 2 級 | 核心系統受影響但可運作 | 36 小時內 |
| 3 級 | 核心系統無法運作 | 24 小時內 |
| 4 級 | 影響其他機關或民眾 | 1 小時內 |
稽核項目
稽核會檢查:
- 資安組織運作
- 人員訓練紀錄
- 風險評鑑報告
- 控制措施實施
- 事件處理紀錄
- 稽核改善追蹤
詳細的通報流程請參考 cybersecurity-incident-reporting-guide。
最新修法動態
資安法持續更新。以下是近期重要變化。
2021 年修法
主要變化:
- 強化通報義務:縮短通報時限
- 擴大適用範圍:納入更多特定非公務機關
- 提高罰則:罰鍰上限提高
2023-2024 年動態
數發部成立
2022 年數位發展部成立,資安署負責資安法執行。
關鍵基礎設施保護法
正在研議中,可能會:
- 擴大關鍵基礎設施範圍
- 強化跨領域協調
- 加重違規處罰
供應鏈安全
開始關注供應鏈資安:
- 軟體供應鏈安全
- 硬體信任度
- 委外服務管理
趨勢觀察
未來可能的方向:
- 擴大管制範圍:更多企業納入
- 提高罰則:嚇阻效果
- 資安保險:可能要求投保
- 國際接軌:與國際標準整合
企業合規建議
不管你是否被指定為特定非公務機關,資安合規都值得關注。
自我評估
先評估現況:
1. 你是否屬於特定非公務機關?
檢查:
- 是否被主管機關公告
- 是否屬於關鍵基礎設施
- 是否為公營事業或政府捐助法人
2. 你的責任等級是什麼?
主管機關會告知。如果不確定,主動詢問。
3. 現有措施符合要求嗎?
對照應辦事項清單,檢視缺口。
合規路徑
起步階段
- 指定資安負責人
- 盤點現有資安措施
- 識別主要缺口
- 擬定改善計畫
建置階段
- 訂定資安政策
- 建立管理制度
- 部署技術措施
- 實施教育訓練
維運階段
- 執行日常監控
- 處理資安事件
- 定期稽核檢視
- 持續改善優化
常見缺口
企業常見的合規缺口:
組織面
- 沒有正式指定資安專責人員
- 資安人員沒有受過專業訓練
- 沒有明確的資安組織架構
政策面
- 沒有書面資安政策
- 政策過時沒有更新
- 員工不知道政策內容
技術面
- 沒有完整的資產清單
- 防護措施不完整
- 日誌保存不足
管理面
- 沒有定期風險評鑑
- 委外管理不落實
- 稽核走過場
資源投入估算
合規需要投入資源。粗估如下:
人力
| 等級 | 專責人員 | 外部支援 |
|---|---|---|
| A 級 | 4+ 人 | 顧問、稽核 |
| B 級 | 2+ 人 | 稽核 |
| C 級 | 1+ 人 | 視需要 |
預算
| 等級 | 年度預算估算 |
|---|---|
| A 級 | NT$500 萬以上 |
| B 級 | NT$150-300 萬 |
| C 級 | NT$50-100 萬 |
這包含人力、設備、外部服務等。
尋求協助
不一定要自己來,可以尋求外部支援:
顧問服務
- 制度建置輔導
- 政策文件撰寫
- 合規差距分析
技術服務
- 弱點掃描
- 滲透測試
- SOC 監控
稽核服務
- 內部稽核
- 預稽核準備
想了解服務商選擇,請參考 台灣資安公司排名。
常見問題 FAQ
一般企業也要遵守資安法嗎?
資安法直接規範「公務機關」和「特定非公務機關」。
一般企業如果沒有被指定,不直接適用資安法。
但如果你是公務機關的供應商,合約可能會要求你符合一定的資安標準。
另外,個資法、金融法規等其他法令也有資安要求。
怎麼知道我是不是特定非公務機關?
中央目的事業主管機關會公告。
例如:
- 金融業由金管會公告
- 通訊業由 NCC 公告
- 能源業由經濟部公告
如果不確定,可以向主管機關詢問。
資安法和 ISO 27001 有什麼關係?
資安法是法律,ISO 27001 是國際標準。
兩者有重疊,但不完全相同。
A 級機關通常被要求導入 ISO 27001。
已有 ISO 27001 認證的組織,合規會比較容易,但還是要對照資安法的特定要求。
違反資安法會怎樣?
行政罰
- 未訂定維護計畫:NT$30-500 萬
- 未依規定通報:NT$30-500 萬
- 可按次處罰
其他後果
- 機關/企業聲譽受損
- 可能被加強稽核
- 負責人可能受懲處
資安事件一定要通報嗎?
特定非公務機關發生資安事件,依法要通報。
通報目的不是處罰,而是:
- 協調處理
- 防止擴散
- 提供支援
- 累積經驗
隱匿不報被發現,處罰更重。
資安專責人員需要什麼資格?
法規沒有強制規定證照。
但建議:
- 參加資安專業訓練(如 iPAS、TAISE)
- 取得專業證照(如 CEH、CISSP)
- 持續進修
詳細資訊請參考 資安證照完整攻略。
下一步
了解資安法後,建議你:
行動清單
- 確認身分:你是否屬於資安法規範對象?
- 了解等級:你的責任等級是什麼?
- 檢視現況:現有措施是否符合要求?
- 規劃改善:識別缺口,擬定計畫
- 尋求支援:必要時尋求外部協助
相關資源
延伸閱讀:
- 資安完整指南:資安基礎知識
- cybersecurity-incident-reporting-guide:通報流程詳解
- 資安健診服務指南:評估現況的方法
需要資安法合規協助?
資安法要求複雜,每家企業狀況不同。
CloudSwap 協助你:
- 評估合規狀況
- 識別改善缺口
- 規劃合規路徑
- 媒合專業服務
預約諮詢,讓我們協助你達成資安法合規。