強制通過ISO27001？ NCC：視情況而定
 
NCC技術管理處副處長羅金賢表示，電信法修法將納入資安管理具體罰則，但是否強制電信業者通過ISO27001認證，必須視電信業者規模與實際情況再做衡量。

針對國家通訊傳播委員會（NCC）是否強制電信業者通過ISO27001，NCC技術管理處副處長羅金賢表示，其實一切會視情況而定。

他進一步解釋，目前資安管理沒有法源可管，NCC只能針對業者不足之處提出建議，然而建議既不具強制性，亦無法可罰。待電信法修法通過，一旦違反資安管理辦法，主管機關將能據此開罰。不過，談到ISO27001，他表示電信法只會針對資訊安全管理提出規範大方向，並不會真的將ISO27001納入法條中，而是在管理辦法中，考量電信業者規模，依實際情況要求其通過ISO27001認證，並規範認證範圍。

此用意有二，一者電信公司若規模龐大、業務多元，勢必與民眾權益息息相關，倘能通過ISO27001，也能讓使用者安心；再者，若資安施行範圍先報請主關機關核定，能避免電信業者各做各的，資安防護沒有一致標準，如此規範旨在消除管理落差，並將真正重要的資安範圍納入控管。

對於為何要求電信業者通過ISO27001認證，羅金賢表示，這其實也是基於企業自主管理的思維，原則上主管機關並不希望過度管制，以免干擾企業營運，因此才會希望能由公證第三人進行驗證；而對企業來說，有一具體標準出來，可免於動輒得咎，也能清楚到底資安應做到什麼程度才符合社會期待。

那麼，與個資保護相關的BSI10012認證是否一併納入管理辦法中？羅金賢表示，我國已通過個人資料保護法，而BSI10012不一定與個資法完全相容，自然以個資法規範為準，再者個資法已訂有罰則，倘若業者有違法情事，即可依個資法開罰。     ．【資訊安全】 疫情引爆資安 趨勢科技籲警覺
．【資訊安全】 遠端辦公成為資安高風險群
．【資訊安全】 BEC詐騙 台灣受害北亞區居冠
．【資訊安全】 思科助攻 打造遠距體驗
．【資訊安全】 微軟攜手法務部 遏止殭屍網路
．【資訊安全】 防疫當頭 Check Point提供安全技巧
．【資訊安全】 F5亞太報告 關切網路安全
．【資訊安全】 微軟五資安要點　助企業提前部署
．【資訊安全】 區塊科技 推BEC方案
．【資訊安全】 AEGIS CUSTODY攜手中國信託 推帳款資