关键信息基础设施业者(Critical Information Infrastructure Owners,简称CIIO)、网络安全审计机构和持照网络安全服务提供者将必须取得网络安全信誉标志(Cyber Trust Mark,简称CTM)认证,进一步巩固我国的数码防线。
数码发展及新闻部兼卫生部高级政务部长陈杰豪今天(2日)在国会拨款委员会辩论数码发展及新闻部开支预算时宣布,政府将带头要求处理敏感数据的机构承担更严格的网络安全和数据保护义务。
网络安全局将要求经营、评估或处理敏感系统和数据的关键信息基础设施业者、为这些业者进行网络安全审计的机构,以及提供渗透测试和托管式安全运营中心服务的持照网络安全服务提供者取得网络安全信誉标志认证。
政府科技局(GovTech)也将要求管理关键系统和敏感政府数据的政府承包商取得认证。
陈杰豪表示,政府正同相关机构进行咨询,这些措施将在未来两年逐步落实。
网络安全局表示,关键信息基础设施业者必须在两年宽限期内,也就是最迟2027年底,为支持其业务运作的非关键系统取得最高级别的第五级认证。相关审计机构则必须在一年内,也就是最迟今年底达标。
持照的网络安全服务供应商则必须取得第三级认证,并可在最迟今年12月31日完成认证程序。
网络安全信任标志是一项分级认证制度,共设五个网络安全准备等级,涵盖10至22个安全领域,按企业风险程度匹配相应标准。认证制度去年加强内容,纳入云计算、营运科技及人工智能安全风险考量,以应对快速演变的威胁环境。
