《资通安全管理法》（简称资安法）自从2019年一月一日正式施行后，也经历将近两年的运作，行政院资通安全处处长简宏伟表示，为了可以让《资安法》更为落实，预计到年底前，于台湾的北、中、南、东等地，举办9场“资安法修法说明会”，将邀请-机关、学界和业界人士共同参与、交换意见，预计在2021年第一季，将《资安法》的修正草案送交立法院审查，完成三读程序。

简宏伟表示，预计年底前通过“第六期资通安全发展方案”中，其中一个最重要的精神就是要落实《资安法》 ；而《资安法》的落实就是得要把过去在执行面上有捍挌之处，以及要配合其他法条修正必须同步修法的法规，先进行法条的修正，务使法律的适用上，不会出现窒碍难行的窘境。

修法明定，军事和情报机关需另订《资安维护计划》送院备查

简宏伟表示，为了这次《资安法》的修法，特定邀请各界专家举办9场修法说明会，对此，行政院已经先释出包括母法《资安法》，以及六个子法：《资安法施行细则》、《资通安全责任等级分级办法》、《资通安全事件通报及应变办法》、《资通安全情资分享办法》、《公务机关所属人员资通安全事项奖惩办法》以及《特定非公务机关资通安全维护计划实施情形稽核办法》的修正草案内容，希望可以作为修法说明会时的参考，也可以广纳各界建议。

他也说，《资安法》母法要调整修正，主要是配合《财团法人法》修正通过，该法通过时，还没有《财团法人法》，因此，未来在法条修正时，就必须配合其他法条做必要的修正。

此外，这次的修法中，也正式明文律定，要求原先被《资安法》排除的机关，即军事机关及情报机关，必须要另外制定《资通安全维护计划》送主管机关行政院备查。

原先的《资安法》对于委外合作的业者，只明文要求“不得泄露在执行或办理相关事务过程中，所获悉关键基础设施提供者的秘密。”但是，简宏伟说，除非有正当的理由，所有的委外单位都有保密的义务，保密的范围不应该只有局限在关键基础设施提供者。

修订资通安全责任等级ABCD级公务级非公务机关的应办事项

《资安法》预计要修法，相关的六个子法也必须同步修正。简宏伟指出，除了配合母法和其他法条所做的内容和文字修正外，这次子法修法影响程度最大的其实就是《资通安全责任等级分级办法》。

他说：“最重要的修法内容就是因应网络威胁增加以及技术发展提升，修正了资通安全责任等级A级、B级和C级机关的应办事项。”《资安法》规范的对象除了公务机关外，非公务机关主要就是指关键基础设施（CI）提供者和行政法人，而关键基础设施提供者往往涉及民众生活能否正常运作，因此，成为《资安法》重点规范的对象之一。

《资通安全责任等级分级办法》明定A级～E级资安责任等级，在希望资安可以做到向上集中的情况下，资安责任等级E级机关是属于“没有任何资安责任的单位”，相关的资安责任都由上级机关负责。

但针在修正条文中，对A级和B级的公务机关，则要求应该都要在被核定、等级变更或者经主管机关发布的一年内，完成资安弱点通报机制导入作业；二年内完成端点侦测机制导入作业；C级公务机关则必须要二年内完成资安弱点通报机制导入；至于非公务机关中，A级和B级都必须在核定资安责任等级的一年内，完成资安弱点通报机制；C级机关则必须在二年内完成资安弱点通报机制。

而资安责任等级D级机关，基本上，都是属于自行办理资通业务，且没有维运自行或委外开发资通系统的单位；在此次修法中明定，只要具备邮件服务器的机关都会提升为C级机关，不论是公务或非公务的C级机关，都必须在二年内完成资安弱点通报机制。

修订“资通系统防护基准”，配合实务需求强化防护措施

《资通安全责任等级分级办法》规定各级机关各种资安实务面向的作为，而有10个附表，其中，此次修法也针对“资通系统防护基准”做了相关的修正建议和文字调整，修法的内容也都配合实务需求而作了许多明文修订。

在“存取控制构面”中，分别有账号管理、最小权限、远端存取等三种措施，其中，账号管理措施则修法明定，为了避免机关未明确定义相关时限，造成适用模糊情形，机关应明确订定使用期限之条件限制，如账号类型与功能限制、操作时段限制、来源位址、连线数量及存取资源等。

在远端存取措施部分，防护等级列为中级和高级的系统，对于远端存取的来源机关要预先定义及管理存取控制点，也应该包括对于防护等级普级系统的所有控制措施，包括：一、对每一种允许远端存取类型，均应先取得授权，建立使用限制、组态需求、连线需求及文件化；二、使用者权限检查作业应于服务器端完成；三、应监控远端存取机关内部网段或资通系统后台连线；四、应采用加密机制。

在“稽核与可归责性构面”中，则有稽核事件、稽核记录内容、稽核储存容量、稽核处理失效之回应、时戳及校时和稽核资讯保护等六大措施，在稽核事件措施中，除了针对防护等级中级和高级系统，修法要求要做到定期审查机关所保留的稽核纪录外，也要求订定稽核时间周期及纪录留存政策，并保留稽核纪录至少六个月。

在稽核记录措施中，则修法明定：资通系统产生的稽核纪录，应依资通安全政策、法规等要求纳入其他相关资讯；在时戳及校时措施中，修法明定系统内部时钟应定期与基准时间源进行同步，资通系统应使用系统内部时钟产生稽核纪录所需时戳，并可以对应到世界协调时间（UTC）或格林威治标准时间（GMT）。

在营运持续计划构面中，有系统备份和系统备援等两大措施，前者则修法明定，应在与运作系统“不同地点”的独立设施或防火柜中，储存重要资通系统软件与其他安全相关资讯备份；后者除了原本要求要订定资通系统从中断后至重新恢复服务的可容忍时间要求外，更修法在原服务中断时，于可容忍时间内，由备援设备或其他方式取代并提供服务。

在“识别与鉴别构面”中，有身份验证管理、鉴别资讯回馈和加密模组鉴别等三大措施。其中，在身份验证管理措施中，修法明定使用密码进行验证时，应强制规定最低密码复杂度，强制规定密码最短及最长的使用效期限制；在进行密码变更时，则修法强制规定，不可以使用前三次使用过的密码。