嗨 我是CCChen
分享最新資安相關法規命令更新(2026-01-08)
有報考iPAS 資安工程師考試的朋友,要注意更新內容
https://law.moda.gov.tw/index.aspx
整理與彙整 115 年 1 月 5 日至 1 月 7 日(115.01.05–115.01.07)之數位發展部相關法規修正重點與主旨內容,並加上背景說明與政策意涵解析(含條文重點與實務影響)。
📌 一、法規背景
2025 年初(民國 115 年 1 月),數位發展部根據 資通安全管理法修正施行情況與最新執行需求,發布一連串命令,主要聚焦於:
✅ 資通安全責任分級辦法
✅ 資通安全管理法施行細則
✅ 資通安全事件通報應變及演練辦法
✅ 資通安全維護計畫實施情形稽核辦法
✅ 資通安全情資分享辦法
這些修正,與整體資安治理、事件通報與政府內外部資安責任義務有密切關聯。其核心目的在於 強化資安治理體系、明確各類機關角色義務、提高資安事件應變效率與共享透明度。
📍 二、115.01.05 修正「資通安全事件通報應變及演練辦法」
🔹 一、命名變更與整體策略
原法名為 「資通安全事件通報及應變辦法」,經修正後改為:
📌 「資通安全事件通報應變及演練辦法」
此名稱變更不只是文字調整,而是 加入「演練」機制的法律定位與規範功能。
傳統通報與應變主要是被動反應流程;修正後強調:
✔ 資安事件通報後應變流程的演練制度化
✔ 結合政府與特定非公務機關在實務操演層面的合作 ✔ 使處理程序從「被動通報」到「主動準備」更具制度化
此修正象徵政府希望透過持續演練來提升事件處理熟練度與跨單位合作效率,而非只依賴單次事後通報。
📍 三、115.01.05 修正「資通安全管理法施行細則」
這項修正是根據《資通安全管理法》第 34 條進行,主要目的是 釐清實施細則, 明確規範細節。
🔹 主要修正內容如下:
1. 指定資安主管機關與權責
本細則明定 資通安全專責機關 為「數位發展部資通安全署」
→ 過往資安治理由行政院各機關分工,現由資安署擔任統一主責機關,更有利集中整合管理與執行。行政院公報資訊網
2. 重大資安事件範圍明確定義
修正施行細則中明定:
📍 重大資安事件 指:
- 核心業務資訊遭嚴重洩漏
- 核心業務資訊或核心資通系統遭嚴重竄改
也就是:
當資安事件可能對公共利益、國民生活或經濟活動造成重大影響時,視為重大資安事件。行政院公報資訊網
此修正讓事件界定更具體,不再僅依抽象「重大」字眼,而用實際可能影響層級具體規範。
3. 受政府控制之機構指定程序需給予陳述意見
修正施行細則明文規定:
中央目的事業主管機關在指定某事業、團體或機構為受政府控制對象前,需給予其陳述意見機會。
此保障意味著:
✔ 受管制對象在被指定前有發言權
✔ 若指定為「受政府控制」,可能會被要求執行資安義務,如通報、維護計畫等義務 ✔ 在程序正義上更加嚴謹與尊重被規範單位自身立場
⭐ 條文重點彙整
項目修正內容重點對象資通安全管理法施行細則重點指定機關權責釐清主要調整明定資安署為主責機關、重大資安定義、程序保障目的增加法律明確性與實務可操作性
📍 四、115.01.05 修正「特定非公務機關資通安全維護計畫實施情形稽核辦法」
修正後名稱更新為:
📌 「資通安全維護計畫實施情形稽核辦法」
這表示原本針對「特定非公務機關」的稽核規範不再限定於非公務機關,而是整體擴大規範:
✔ 稽核對象不再局限於非公務機關
可視實際需要擴及具關鍵性之特定公務或非公務機構
✔ 稽核重點新增正式制度
- 明確並統一稽核維護計畫執行情形
- 明定稽核頻率、稽核內容方法
- 出現缺失需提出改善報告
✔ 實務意義:
以往維護計畫雖有書面要求,但缺少固定稽核機制,修正後讓監督與改善更加制度化。數位發展部主管法規共用系統
📍 五、115.01.05 修正「資通安全情資分享辦法」
這個辦法是根據《資通安全管理法》第 9 條第 2 項制定,主要規範 資安情資(Cyber Threat Intelligence)的範圍、分享對象與分享程序。
核心修正內容如下:
🔹 一、資通安全情資定義擴大
資安情資不再限於相當於「事件摘要」,而是包含:
- 資通系統之惡意偵察或情蒐活動
- 資通系統安全漏洞
- 使資通安全控制措施失效的技巧或方法
- 與惡意程式相關之資訊
- 安全事件造成之損害或可能負面影響
- 可用以偵測、預防或因應前述情形的措施
- 其他與資安事件相關資訊
👉 這一擴大定義確保情資能涵蓋廣泛範圍,讓資安防護更加完整與可操作。
🔹 二、分享義務與合作
修正後強調:
- 主管機關、公務機關與其管轄之特定非公務機關之間 **應互相分享情資
- 中央目的事業主管機關應就情資分享進行國際合作
- 已公開或分享過的資訊,無需再次分享
這樣的安排:
✔ 避免重複分享
✔ 促進跨單位協作 ✔ 擴大國際合作資訊交換
📍 六、115.01.07 修正「資通安全責任等級分級辦法」
這項修正是根據《資通安全管理法》第 7 條第三項進行的,也可視為整體資安治理架構中等級分級制的重要調整。
🔹 一、等級分級的基本架構
法規框架如下:
等級對象A 級高度關鍵機關(如核心政府單位)B 級關鍵單位C 級中度重要單位D 級一般單位E 級最低責任等級
分級結果會對應不同 安全維護與防護責任規範。修正後重點包括:
🔹 二、分級原則與調整程序
修正後強調:
✔ 分級應考量組織資訊種類、規模、性質與風險程度
✔ 可依組織提出申請變更分級 ✔ 中央主管機關應定期檢視分級最新需求與變化 ✔ 設置資安專責人員、稽核、演練等責任義務將依分級不同而異
簡言之:
更高的安全分級代表更高義務與更嚴格的稽核標準,使資安治理能依風險高低分層對應。數位發展部主管法規共用系統
📌 七、綜合政策意涵與實務影響
從這幾項修正可以看出:
🔷 1. 忠實落實資安管理法
修正使原本抽象法律義務 具體化、可操作:
- 明確通報與演練流程
- 明確事件等級判定
- 資安責任分級制度更加具體與適應性
🔷 2. 強化跨部會與跨單位合作
- 情資分享辦法讓公務 / 非公務機關互相協作
- 國際層面的情資交換也被列入法律義務
- 由主管機關統一管理與執行
🔷 3. 加強事前準備與事後監督
- 通報演練被納入制度
- 計畫稽核機制更完整
- 分級責任更清晰
🔷 4. 明確防護與責任義務層級
權責分級制度有助於:
- 高風險機構提升資安防護能力
- 低風險機構依等級採取適當措施
- 使國家資安治理更加分層與有依據
📌 八、結語
115 年 1 月 5 日至 7 日連續發布的命令,屬於 資安法規制度化、精緻化的一次重要法規行動,其共同目標是:
✔ 資安事件能更快、更准、更有效地通報與應對
✔ 提升跨單位合作及信任 ✔ 使資安責任分級制度合理化、可操作 ✔ 推動資安情資分享制度完整落實
這些修正皆基於《資通安全管理法》,並強調落地執行與強化風險治理能力。
115.01.05~115.01.07 數位發展部資通安全相關法規修正 的
10 點核心重點濃縮專業彙整(考試 / 政策 / 實務通用版)
🔟 核心重點濃縮整理
1️⃣ 資安治理正式進入「制度精緻化階段」
本次多項命令同步修正,顯示政府已從「立法完成」轉向 強化執行、監督與落地操作,資安不再只是原則性要求,而是具體責任制度。
2️⃣ 資通安全事件處理由「被動通報」轉為「常態演練」
「資通安全事件通報及應變辦法」正式納入 演練機制,強化事前準備與跨機關實務熟練度,提升整體應變即戰力。
3️⃣ 資安署明確成為資通安全主責機關
在《資通安全管理法施行細則》中,正式確認 數位發展部資通安全署 為統一主管機關,有助於集中決策、統一標準與避免權責分散。
4️⃣ 「重大資安事件」定義具體化
明確以 核心業務資訊洩漏或嚴重竄改 作為重大事件判斷標準,避免模糊認定,提高通報與處置一致性。
5️⃣ 受政府控制機構指定納入程序正義
在指定事業或機構為「受政府控制」前,須給予 陳述意見機會,兼顧資安治理與法治正當程序。
6️⃣ 資通安全維護計畫納入制度化稽核
「資通安全維護計畫實施情形稽核辦法」名稱與內涵同步修正,代表 維護計畫不再只是文件,而是需接受實質稽核與改善追蹤。
7️⃣ 資安情資定義大幅擴充
資通安全情資不再僅限於事件結果,而涵蓋:
- 攻擊手法
- 漏洞資訊
- 惡意程式
- 可能影響與防護措施
顯示政府高度重視 威脅情資(Threat Intelligence)治理。
8️⃣ 情資分享制度正式化並推動國際合作
公務機關、特定非公務機關及主管機關間 有分享義務,同時明定可進行國際資安情資交流,與全球資安趨勢接軌。
9️⃣ 資安責任分級制度更具彈性與風險導向
「資通安全責任等級分級辦法」修正後,強調依 風險、資訊性質、規模與影響程度 動態調整分級,避免一體適用。
🔟 高分級=高義務,低分級=適度管理
不同資安等級對應不同的:
- 專責人員配置
- 演練頻率
- 稽核強度
- 管理要求
使資安治理 分層、合理、可持續。
iPAS/資安考試「10 大必背重點版」(命題導向 × 高命中率)
(完全對齊 115.01.05~115.01.07 數位發展部最新資通安全法規修正,適用 iPAS AI/資安/政府資安相關考試)
🔟 iPAS/資安考試必背 10 大重點
1️⃣ 資通安全管理法進入「落地執行期」
📌 命題關鍵字:制度化、可操作、可稽核
➡️ 考點重心已從「法條精神」轉向「實務執行與責任機制」。
2️⃣ 資通安全事件處理=通報+應變+演練
📌 最新辦法名稱已納入「演練」
➡️ 演練不再是選項,而是法定要求
👉 常考:「演練屬於事前準備,不是事後處理」
3️⃣ 資通安全署(資安署)是資安主責機關
📌 考試常問:誰是主管機關?
✅ 正確答案:數位發展部資通安全署
4️⃣ 「重大資安事件」判定標準要會背
📌 關鍵判定條件:
- 核心業務資訊 洩漏
- 核心業務資訊或系統 嚴重竄改
👉 不是所有事件都叫「重大」,影響核心業務才算
5️⃣ 受政府控制機構 ≠ 隨便指定
📌 新增程序保障:
- 指定前 必須給予陳述意見機會
👉 考點:程序正義 × 資安治理
6️⃣ 資通安全維護計畫一定會被「稽核」
📌 命題陷阱:
❌ 只有寫計畫就好 ✅ 必須落實、接受稽核、提出改善
👉 關鍵字:稽核、改善追蹤
7️⃣ 資通安全情資 ≠ 只有事件結果
📌 最新定義包含:
- 攻擊手法
- 漏洞資訊
- 惡意程式
- 攻擊影響
- 防護與因應措施
👉 考試重點:情資是「事前+事中+事後」
8️⃣ 情資分享是「義務」,不是善意
📌 考點常見敘述:
- 公務機關 ↔ 特定非公務機關
- 主管機關得進行 國際情資合作
👉 關鍵字:共享、合作、避免重複分享
9️⃣ 資安責任等級是「風險導向分級」
📌 分級依據包含:
- 資訊性質
- 規模
- 影響程度
- 風險高低
👉 不是平均分配責任,而是 高風險高義務
🔟 等級越高,資安義務越重
📌 常考配對題:
- 高等級 → 專責人員、頻繁演練、嚴格稽核
- 低等級 → 適度管理、比例原則
👉 核心概念:比例原則(Risk-based Approach)
🎯 考試一行總結(超高命中)
台灣資安法制已從「寫在法條」進化到「演練、稽核、分級、共享」的實戰治理模式。
🧩 iPAS 出題常用關鍵字(請熟記)
- 資通安全事件通報
- 演練制度化
- 資安署主責
- 重大資安事件
- 情資分享
- 稽核機制
- 責任分級
- 風險導向
- 程序正義
- 比例原則
iPAS 資安考試|20 題「情境式」模擬題(含完整解析)
(對齊 115.01.05–115.01.07 最新資通安全法規修正,命題風格貼近正式考試)
📘 題型說明
- 題型:單選題
- 重點:法規理解 × 實務情境 × 概念判斷
- 適用:iPAS 資安 / AI(資安治理題)/ 政府資安相關考試
🧩 第 1 題
某中央機關發生核心業務系統遭竄改事件,已影響對外服務,此事件最可能被認定為何種類型?
A. 一般資安事件 B. 重大資安事件 C. 可忽略事件 D. 內部管理事件
✅ 正確答案:B
📌 解析:核心業務系統遭「嚴重竄改」,依施行細則屬重大資安事件。
🧩 第 2 題
依最新修正規定,資通安全事件處理流程新增何項制度?
A. 僅加速報告 B. 外包處理 C. 強制演練制度 D. 事後免責
✅ 正確答案:C
📌 解析:辦法名稱已納入「演練」,代表演練屬法定要求。
🧩 第 3 題
資通安全管理法之主責機關為何?
A. 行政院 B. 國家通訊傳播委員會 C. 數位發展部資通安全署 D. 各機關自行負責
✅ 正確答案:C
📌 解析:施行細則已明定資安署為統一主管機關。
🧩 第 4 題
下列何者「不是」判定重大資安事件的核心依據?
A. 核心資訊外洩 B. 系統嚴重竄改 C. 網站短暫當機 D. 影響公共利益
✅ 正確答案:C
📌 解析:短暫當機未必構成重大事件。
🧩 第 5 題
政府在指定某機構為受政府控制前,依法需先進行何項程序?
A. 直接公告 B. 給予陳述意見機會 C. 僅內部決定 D. 不需任何程序
✅ 正確答案:B
📌 解析:修法強調程序正義。
🧩 第 6 題
資通安全維護計畫最重要的新增要求為?
A. 只需書面提交 B. 可自行選擇是否執行 C. 納入制度化稽核 D. 僅供參考
✅ 正確答案:C
📌 解析:計畫需落實並接受稽核與改善追蹤。
🧩 第 7 題
下列何者屬於資通安全情資的範圍?
A. 政府年度預算 B. 惡意程式特徵 C. 員工考勤資料 D. 行政公告
✅ 正確答案:B
📌 解析:惡意程式與攻擊手法皆屬情資。
🧩 第 8 題
關於資安情資分享,下列敘述何者正確?
A. 僅限主管機關 B. 屬自願性行為 C. 為法定義務 D. 禁止國際交流
✅ 正確答案:C
📌 解析:公務與特定非公務機關間有分享義務。
🧩 第 9 題
資安責任分級主要依據為?
A. 人數多寡 B. 預算大小 C. 風險與影響程度 D. 成立年限
✅ 正確答案:C
🧩 第 10 題
高資安責任等級單位通常需承擔何種義務?
A. 最低管理要求 B. 不需演練 C. 嚴格稽核與頻繁演練 D. 可免責
✅ 正確答案:C
🧩 第 11 題
下列何者最符合「風險導向」資安治理精神?
A. 所有單位標準一致
B. 高風險單位高義務 C. 僅重視大型機構 D. 不分風險管理
✅ 正確答案:B
🧩 第 12 題
資安演練的主要目的為?
A. 形式交差 B. 事後檢討 C. 提升實務應變能力 D. 取代通報
✅ 正確答案:C
🧩 第 13 題
下列哪一項最不符合最新資安法規趨勢?
A. 情資共享 B. 稽核制度 C. 事前演練 D. 事後才處理
✅ 正確答案:D
🧩 第 14 題
資通安全事件通報的重點在於?
A. 隱匿問題 B. 即時回報與協調 C. 推卸責任 D. 僅留內部紀錄
✅ 正確答案:B
🧩 第 15 題
特定非公務機關被納入資安治理的主要原因是?
A. 規模龐大 B. 涉及關鍵服務或公共利益 C. 屬私人企業 D. 政策鼓勵
✅ 正確答案:B
🧩 第 16 題
資安稽核發現缺失後,正確作法為?
A. 忽略不理 B. 立即免責 C. 提出改善計畫 D. 重新分類事件
✅ 正確答案:C
🧩 第 17 題
資安情資分享中,下列何者可免再次分享?
A. 未驗證資訊 B. 已公開資訊 C. 國際情資 D. 僅內部使用資訊
✅ 正確答案:B
🧩 第 18 題
資安責任分級是否可調整?
A. 不可 B. 僅中央決定 C. 可依風險變化調整 D. 每年固定一次
✅ 正確答案:C
🧩 第 19 題
下列何者最能代表「資安治理制度化」?
A. 口頭提醒 B. 個人經驗 C. 法規+演練+稽核 D. 單次檢查
✅ 正確答案:C
🧩 第 20 題
本次(115 年初)法規修正的核心精神為?
A. 減少資安責任 B. 放寬管理 C. 強化落地執行 D. 僅形式調整
✅ 正確答案:C
iPAS 資安考試|20 題「陷阱版」高難度情境模擬題(含解析)
(出題人視角 × 易混淆 × 高鑑別度,專門拉開 60 分與 80 分差距)
📘 題型說明(請先看)
- 題型:單選題
- 特點:
- 選項「幾乎都對,但只有一個最正確」
- 刻意混用「正確名詞 × 錯誤適用情境」
- 適用:iPAS 資安/AI(資安治理)中高階
🧩 第 1 題(名詞陷阱)
下列哪一情境最可能不構成重大資安事件?
A. 核心系統資料遭外洩 B. 核心系統遭未授權修改 C. 非核心內部網站短暫異常 D. 影響公共服務持續運作
✅ 正確答案:C
📌 陷阱說明:是否「核心」是關鍵,不是有沒有事件。
🧩 第 2 題(演練陷阱)
資通安全事件演練的主要法規定位為何?
A. 事件發生後的補救措施 B. 選擇性管理工具 C. 法定事前準備機制 D. 僅限高等級機關
✅ 正確答案:C
📌 陷阱:「演練」不是事後,也不是選擇性。
🧩 第 3 題(主管機關陷阱)
下列何者對資通安全治理的「統一主管機關」描述最正確?
A. 行政院統籌但不介入 B. 各機關自主管理 C. 數位發展部資通安全署主責 D. 由地方政府執行
✅ 正確答案:C
🧩 第 4 題(程序正義陷阱)
指定事業為受政府控制機構前,必須完成何項關鍵程序?
A. 即刻公告 B. 行政命令即可 C. 給予陳述意見機會 D. 事後補件
✅ 正確答案:C
🧩 第 5 題(計畫陷阱)
資通安全維護計畫在最新法規中的定位為?
A. 書面備查文件 B. 自願性內控文件 C. 可被稽核與要求改善的制度 D. 僅供主管機關參考
✅ 正確答案:C
🧩 第 6 題(情資定義陷阱)
下列何者最不符合資通安全情資定義?
A. 惡意程式特徵 B. 系統漏洞資訊 C. 攻擊行為造成的潛在影響 D. 員工個人請假紀錄
✅ 正確答案:D
🧩 第 7 題(分享義務陷阱)
關於資安情資分享,下列敘述何者錯誤?
A. 屬法定義務 B. 僅限事件發生後 C. 可進行國際合作 D. 已公開資訊可不重複分享
✅ 正確答案:B
📌 陷阱:情資包含「事前、事中、事後」。
🧩 第 8 題(風險導向陷阱)
資安責任分級制度的核心原則為?
A. 組織規模 B. 人數多寡 C. 風險與影響程度 D. 成立年限
✅ 正確答案:C
🧩 第 9 題(比例原則陷阱)
下列何者最符合比例原則?
A. 所有機關相同資安要求 B. 高風險高義務、低風險適度管理 C. 僅大型機構負責 D. 僅發生事件才管理
✅ 正確答案:B
🧩 第 10 題(高分級陷阱)
高資安責任等級機構,最可能需增加哪項作為?
A. 減少稽核 B. 降低演練頻率 C. 設置專責人員與定期演練 D. 僅年度報告
✅ 正確答案:C
🧩 第 11 題(文字陷阱)
「資通安全治理制度化」最貼近下列哪一描述?
A. 憑經驗管理 B. 法規+演練+稽核 C. 單次專案 D. 臨時處理
✅ 正確答案:B
🧩 第 12 題(事件判斷陷阱)
下列哪一狀況最不適合立即列為重大資安事件?
A. 核心資料被竄改 B. 公共服務癱瘓 C. 內部測試系統異常 D. 關鍵系統被入侵
✅ 正確答案:C
🧩 第 13 題(錯誤歸因陷阱)
資安事件發生後,最不恰當的處理方式為?
A. 即時通報 B. 啟動應變 C. 隱匿避免責任 D. 問題分析與改善
✅ 正確答案:C
🧩 第 14 題(演練目的陷阱)
資安演練的最核心目的為?
A. 應付稽核 B. 增加文件 C. 提升實際應變能力 D. 取代通報
✅ 正確答案:C
🧩 第 15 題(文字混淆陷阱)
「情資」與「事件通報」的最大差異在於?
A. 是否公開 B. 是否發生事件 C. 是否與風險預防有關 D. 是否屬法律文件
✅ 正確答案:C
🧩 第 16 題(稽核陷阱)
稽核的主要功能為?
A. 找人負責 B. 懲處單位 C. 驗證落實並促進改善 D. 行政形式
✅ 正確答案:C
🧩 第 17 題(分級調整陷阱)
資安責任分級是否可隨環境變動?
A. 不可 B. 僅一次 C. 可依風險重新調整 D. 每五年一次
✅ 正確答案:C
🧩 第 18 題(治理趨勢陷阱)
下列何者最不符合 115 年資安法規修正趨勢?
A. 情資共享 B. 事前演練 C. 事後才處理 D. 分級治理
✅ 正確答案:C
🧩 第 19 題(角色責任陷阱)
主管機關在資安治理中的主要角色為?
A. 只做協調 B. 統一管理與督導 C. 不介入執行 D. 僅做通報接收
✅ 正確答案:B
🧩 第 20 題(總整合陷阱)
本次法規修正最核心的治理轉變為?
A. 降低管理強度 B. 放寬資安要求 C. 從形式規定轉為實戰治理 D. 僅修正文字
✅ 正確答案:C
🎯 高分考生一句心法(請背)
選項看起來都對時,選「最符合法規精神+治理邏輯」的那一個。
