英國修訂電信安全實踐守則,以因應新興資安風險
主筆者:謝銘仁
因應通訊技術變革及衍生之資安威脅,英國文化媒體暨體育部(Department for Culture, Media and Sport, DCMS)於2022年制定《電信安全實踐守則》(Telecommunications Security Code of Practice (2022))確立定期檢討之規定,今(2025)年度DCMS評估英國國家網路安全中心(National Cyber Security Centre, NCSC)所提之資安建議、英國通訊管理局(Office of Communications, Ofcom)的執行觀察報告及電信業者反映的安全性問題後,決議於今年度修訂該守則。修訂草案之公眾意見諮詢以公眾電子通信網路服務供應商為主要諮詢對象,並於10月22日完成,所徵得之意見正由英國創新科技部(Department for Science, Innovation and Technology, DSIT)審議中。
為強化公眾電信網路及通訊服務的安全性與韌性,英國政府在2021年修訂《2003年通訊法》(Communications Act 2003)時,即納入全新電信資安框架,除要求英國電信業者須依法履行「資通安全首要責任」(overarching security duties),以降低電信網路發生資安危害事件之機率或造成之負面影響,並增訂條文,授權英國內閣大臣(Secretary of State)訂定資安措施及實踐守則。基於此次修正,英國內閣大臣於2022年發布《電子通訊安全措施規則》(Electronic Communications (Security Measures) Regulations 2022)及《電信安全實踐守則》,確立電信業者在首要責任外另應遵循之資安規範及執行建議。隨著技術演進與通訊網路環境發展,本年度DCMS修訂《電信安全實踐守則》預期目標有以下4項:
一、回應通訊科技之發展:自2022年《電信安全實踐守則》施行以來,多種新興通訊技術逐漸普及,例如:eSIM、自動化工具及應用程式介面(Application Programming Interfaces, APIs)等,故期望藉由修訂確保實踐守則之內容得與時俱進,使國內電信業者有效遵循。
二、因應新興型態之資安威脅:有鑑於美國電信網路近期遭受多起敵對國家(hostile-state-linked)的資安攻擊,並造成嚴重影響,因此英國政府認為電信業者的處置措施須合理且符合比例原則,以有效保障電信網路安全。
三、提升法規遵循之明確性:由於公眾電信網路業者持續反映《電信安全實踐守則》之規定具不確定之法律概念,且部分措施易生歧義不易遵循,尤其有關安全性測試及特殊權限存取工作站(Privileged Access Workstations, PAWs)之使用等規定,英國創新科技部(DSIT)將藉由此次修訂調整相關內容以回應外界之疑慮。
四、重申全方位執行《電信安全實踐守則》之必要性:藉由明確劃分電信產業體系之責任歸屬,可確立各類型電信業者在治理、風險、營運及供應商管理上對應的風險應變責任。
更進一步觀察《電信安全實踐守則》修訂內容,英國政府並非大幅改寫原定架構,而是著重於提升執行內容與目標方向的明確性,並強調供應鏈韌性的重要性。修訂重點有以下5項:
一、進一步闡明業者執行成果的「合格」標準:包含安全性測試、執行機敏任務之專用封閉式管理裝置之使用方式,並調和《實踐守則》、《2021年電信安全法》(Telecommunications (Security) Act 2021)、及《網路評估框架》(Cyber Assessment Framework, CAF)三者間之密碼管理規範;
二、加強檢視供應鏈風險:近年資安攻擊案例暴露出供應商、軟體元件及第三方存取之弱點,故將修訂實踐守則中有關「供應商安全性評估」(Vendor Security Assessment)的內容,以提升供應商韌性及復原能力的合格標準;
三、新增eSIM遠端配置功能之規定;
四、資安測試:依據威脅情報及事件規模,評估提升測試項目之深度與廣度。例如:紅隊及紫隊演練、攻擊路徑驗證、應用程式介面與自動化流程測試等;
五、特殊權限存取工作站(Privileged Access Workstations, PAWs):針對PAW之使用及安全強化、職責區隔(segregation)等措施制定更高標準,以減低機敏管理作業之資安危害風險。
在資訊化社會中,每位公民經由公眾電信網路而連結成密不可分的群體,資訊安全與相關威脅因而成為各國政府高度重視的議題。英國《電信安全實踐守則》的原始內容顯示英國對於國內電信業者的資安責任及期待達成之義務,本次修訂更展現出英國對於新興資安風險的即時回應。待公眾意見諮詢報告發布後,英國《電信安全實踐守則》的修訂走向預期會更加明確,相關資安措施也將更加契合產業情況與國情需求。
關鍵字:公眾電信網路、資通安全責任、實踐守則
資料來源:
- GOV.UK, Proposals to update the Telecommunications Security Code of Practice 2022 (2025/11/16), https://www.gov.uk/government/consultations/proposals-to-update-the-telecommunications-security-code-of-practice-2022.
- GOV.UK, Proposals to update the Telecommunications Security Code of Practice 2022: what we are consulting on (2025/11/16), https://www.gov.uk/government/consultations/proposals-to-update-the-telecommunications-security-code-of-practice-2022/proposals-to-update-the-telecommunications-security-code-of-practice-2022-what-we-are-consulting-on.
- Osborne Clarke, Telecoms | UK Regulatory Outlook September 2025 (2025/11/16), https://www.osborneclarke.com/insights/regulatory-outlook-september-2025-telecoms.