前言:2025 修法潮與 2026 合規新時代
2025 年是台灣資安法規史上最重要的一年:《資通安全管理法》自 2019 年施行以來完成首次大修(2025/8/29 立法院三讀通過、2025/9/24 總統公布,行政院令定自 2025/12/1 施行),《個人資料保護法》也完成修正(2025/11/11 公布),金管會更將零信任架構從「鼓勵導入」升級為「必須導入」。
這波修法潮意味著 2026 年起,無論是政府機關、關鍵基礎設施提供者,還是一般企業,都將面對前所未有的合規壓力。本文完整梳理修法重點、罰則變化與企業因應策略,協助您提前佈局。
一、資通安全管理法修正七大重點
這次修法是資安法自 2019 年施行以來的首次全面修正,核心變革如下:
1. 主管機關變更
資安法主管機關由行政院變更為數位發展部,實際執行單位為數位發展部資通安全署。此變更確立了資安治理的專責機關體系,提升政策推動效率。
2. 適用範圍擴大
原法僅規範關鍵基礎設施(CI)提供者、公營事業、政府捐助之財團法人。修正後新增「政府控制之企業、組織或機構」,意味著更多與政府有關聯的組織將納入資安法管轄。
3. 資安長與專職人員
特定等級之關鍵基礎設施提供者及特定非公務機關,須設置資安長(CISO)及專職資安人員。這將資安治理從「建議事項」提升至「法定義務」,企業高層必須正式承擔資安責任。
4. 罰則大幅提高
| 違規情節 | 修正前 | 修正後 |
|---|---|---|
| 未依規定通報資安事件 | 最高 500 萬元 | 最高 1,000 萬元 |
| 未改善合規缺失 | 最高 250 萬元 | 最高 500 萬元 |
| 拒絕配合調查 | 未明定 | 新增罰則 |
5. 調查權限新增
中央目的事業主管機關獲授權可採取以下措施:
- 要求受查機關(構)到場說明
- 要求提供第三方鑑識報告
- 派員實地檢查
這些新增權限意味著企業在資安事件發生後,需能迅速配合調查並提供完整紀錄。
6. 委外監督管理
委外辦理資通安全業務,須簽訂書面契約載明權利義務與違約責任。此條文將過去僅為行政指導的委外管理要求提升至法律位階,IT 外包合約必須明確納入資安條款。
7. 危害國安產品禁令法律化
公務機關禁止下載、安裝、使用危害國家資通安全之產品,此規定從過去的行政命令提升至法律位階,違反者將面對明確法律責任。
8. 施行日期
修正條文經行政院令定自 2025 年 12 月 1 日正式施行(院臺安字第1141033966號)。該法已生效,尚未完成整備者應儘速補正、進行合規差距分析。
二、等保制度(維持五級)
資安責任等級分類仍維持五級制度,各級別最低要求如下:
| 等級 | 定義 | 主要要求 |
|---|---|---|
| 第一級 | 一般資訊系統 | 基本資安維護、自主管理 |
| 第二級 | 含個資或重要業務系統 | 資安政策、人員訓練、年度自評 |
| 第三級 | 關鍵業務或大量個資 | ISMS 建立、每 2 年資安稽核 |
| 第四級 | CI 核心系統 | ISO 27001 驗證、每年稽核、演練 |
| 第五級 | 國家安全相關 | 最高等級管控、滲透測試、SOC |
配合修法後的主管機關調整(數位發展部)與罰則變更,預期施行細則將同步修訂,企業應密切關注後續公告。
三、資安事件通報時效
通報制度維持四級分類,但配合罰則大幅加重(未通報最高罰 1,000 萬元),企業須更加重視通報程序的落實:
| 事件等級 | 通報對象 | 時效要求 | 未通報罰則 |
|---|---|---|---|
| 第四級(重大) | 主管機關 + 資安署 | 1 小時內通報 | 最高 1,000 萬元 |
| 第三級(重要) | 主管機關 | 2 小時內通報 | 最高 1,000 萬元 |
| 第二級(一般) | 主管機關 | 24 小時內通報 | 最高 500 萬元 |
| 第一級(輕微) | 自行記錄 | 留存紀錄備查 | 依情節裁處 |
四、個人資料保護法 2025 修正
《個人資料保護法》修正條文於 2025 年 11 月 11 日由總統公布(施行日期待定),核心變革如下:
成立獨立監管機關:個人資料保護委員會(PDPC)
過去個資監管權限分散在各目的事業主管機關(衛福部管醫療個資、金管會管金融個資等),修法後統一由個人資料保護委員會(PDPC)集中監管,大幅提升執法一致性。
資料保護長(DPO)制度
公務機關須設置資料保護長(DPO),負責監督機關內部個資保護之執行。此制度明顯參考歐盟 GDPR 框架,預期未來亦將逐步擴及非公務機關。
過渡期安排
PDPC 成立設有最長 6 年過渡期,期間部分非公務機關仍由原主管機關管轄,逐步移轉至 PDPC。企業應善用過渡期完成內部個資管理流程的盤點與調整。
對標 GDPR 趨勢
整體修法方向明確對標國際 GDPR 標準,包含獨立監管機關、DPO 制度、強化當事人權利等。對於有跨境業務的台灣企業而言,個資法修正將有助於國際合規對接。
五、金管會 2026 金融資安新規
金管會針對金融機構的資安要求在 2026 年迎來重大升級:
零信任架構:從鼓勵到必備
零信任架構從過去的「鼓勵導入」正式升級為「必須導入」。金融機構須在六大優先場域落實零信任原則:
- 遠距辦公——身分驗證、裝置合規檢查
- 雲端存取——持續驗證、最小權限
- 系統維運管理——特權存取管理(PAM)
- 應用系統管理——微分段、API 安全
- 服務供應商——第三方存取控制
- 跨機構協作——聯防機制、資訊共享
軟體供應鏈安全
金融機構須建立 SBOM(Software Bill of Materials,軟體物料清單)機制,掌握所使用軟體的完整元件來源,以即時應對供應鏈漏洞(如 Log4Shell 等事件)。
資安長權責明定
資安長(CISO)須具備獨立彙報路線,不受 CIO 管轄,確保資安決策不被業務壓力所左右。
第三方風險管理(TPRM)
金融機構須建立正式的第三方風險管理程序,涵蓋供應商資安評估、持續監控與事件通報機制。作為金融機構供應商的 IT 服務業者,也需準備配合客戶的 TPRM 要求。
六、上市櫃公司資安揭露要求
金管會持續強化上市櫃公司的資安資訊揭露義務:
- 年報中揭露資安風險管理架構
- 發生重大資安事件,應於次一營業日交易時間開始前 2 小時(早上 7 時前)發布重大訊息公告
- 資本額 100 億以上:設置專職資安長(CISO)及資安人員
- 第一級以外、且近 3 年稅前純益未連續虧損及每股淨值未低於面額之上市櫃公司:設置資安專責主管及至少 1 名資安專責人員
配合資安法修正,上市櫃公司的資安治理透明度要求只會持續提高,投資人與主管機關對資安揭露的關注度與日俱增。
七、企業合規自評清單
以下是中大型企業(非公務機關)可參考的 2026 年合規自評項目:
| 合規項目 | 已完成 | 優先等級 |
|---|---|---|
| 指定資安負責人(CISO/資安長) | □ | 高 |
| 配置專職資安人員 | □ | 高 |
| 建立資安政策與程序文件 | □ | 高 |
| 資安事件通報程序建立與演練 | □ | 高 |
| 資安事件應變計畫(IRP) | □ | 高 |
| 委外契約資安條款審查 | □ | 高 |
| 危害國安產品清查與移除 | □ | 高 |
| 每年員工資安教育訓練 | □ | 高 |
| 資產盤點與分類(含個資) | □ | 高 |
| 指定個資保護長(DPO) | □ | 中(公務機關為高) |
| 存取控制審查(每季) | □ | 高 |
| ISMS 建立(ISO 27001) | □ | 中(第三級以上為高) |
| 供應商資安評估(TPRM) | □ | 中 |
| 軟體供應鏈安全評估(SBOM) | □ | 中(金融業為高) |
| 弱點掃描(每年) | □ | 中 |
| 滲透測試(每年,視等級) | □ | 中 |
| BCP/DR 計畫並測試 | □ | 高 |
八、中小企業的務實因應
非 CI 提供者的中小企業,雖不在《資通安全管理法》直接規範範圍內,但以下趨勢使得主動合規愈發重要:
- 適用範圍擴大效應——修法新增「政府控制之企業、組織或機構」,未來可能進一步擴及更多民間組織
- 供應鏈連帶要求——委外契約資安條款入法後,大型客戶(尤其政府機關與金融業)將更嚴格要求供應商的資安水準
- 個資法統一監管——PDPC 成立後,不分行業的個資保護執法將更加一致且嚴格
- ISO 27001 成事實標準——台灣企業對外合作中,ISO 27001 驗證已成為基本門檻
- 勒索軟體攻擊升級——中小企業因防護相對薄弱,持續成為攻擊者的首選目標
務實建議:即使尚未被法規直接規範,中小企業至少應完成以下基礎工作:
- 指定資安聯絡人(不一定是專職,但需有明確負責人)
- 建立資安事件應變程序(至少涵蓋勒索軟體、資料外洩兩種情境)
- 每年至少一次全員資安意識教育訓練
- 審查 IT 委外合約的資安條款
- 定期備份並驗證還原能力
重點摘要
- 資安法首次大修:主管機關移至數位發展部、適用範圍擴大、罰則倍增至 1,000 萬元
- 強制設置資安長(CISO)與專職資安人員,委外契約資安條款入法
- 個資法修正成立 PDPC 獨立監管機關,公務機關須設 DPO
- 金管會零信任架構從鼓勵轉為必備,新增 SBOM 軟體供應鏈安全要求
- 建議所有企業:即刻進行合規差距分析,把握施行日前的緩衝期完成整備
有任何問題,歡迎與我們討論。
預約資安合規評估 →訂閱 IT 技術電子報
每月精選 IT 趨勢與實務文章,直接送到你的信箱