商傳媒|吳承岳/台北報導
英國國家網路安全中心(National Cyber Security Centre, NCSC)旗下資安認證制度 Cyber Essentials,於今年 4 月 27 日更新至版本 3.3,擴大適用範圍並嚴格化實施標準。這項自 2014 年起運行的制度,旨在確保各規模企業與組織達到基本的資安要求,尤其對處理機密或個人資訊的英國政府合約而言,此認證是強制性門檻。
新版規範針對雲端服務與多因素驗證(Multi-Factor Authentication, MFA)提出更嚴格的要求。Cyber Essentials 首次明確定義了「雲端服務」,並要求所有用於儲存或處理組織資料的雲端服務,都必須納入資安認證的範疇。這意味著企業無法再將部分雲端應用排除在審查之外。同時,凡是雲端服務可提供 MFA 功能,組織就必須導入,無論其為免費、標準或付費選項,否則將自動判定為不合格。
其他重要變革包括,過去受信任連線(trusted connections)的規範被移除,強化軟體開發的安全性行為準則,以及強調資料備份的重要性。此外,針對作業系統、路由器、防火牆韌體及應用程式的「高風險」或「重大」安全更新與漏洞修復,未來必須在發布後的 14 天內完成安裝,否則同樣會導致認證失敗。
根據 英國國家網路安全中心 公布的資料,2025 年 4 月至 2026 年 3 月間,約有 59,090 家企業獲得 Cyber Essentials 認證。儘管這項制度主要適用於英國,其嚴格趨勢已引起國際關注。例如,日本經濟產業省預計於 2026 財政年度末推出的「供應鏈強化安全評估制度」(SCS評価制度),便參考了 Cyber Essentials 的部分理念。對於與英國有業務往來或考慮遵循國際資安標準的台灣企業而言,理解並預先因應這些日益嚴格的資安規範,將是維護競爭力的關鍵。







