「資訊安全」，這名詞在新冠疫情後，已經不再是嶄新的數位名詞，而是生活上就需要應對的態度。故其實在台灣公益團體自律聯盟(後稱自律聯盟)所推動的責信指標中，自2014年的公開版本中在募款誠信、財務透明、資訊公開等專章中，均提及資訊公開、個人資料保護的相關項目，便一直是存在的。

然而數位時代的科技迭代速度呈現翻倍成長，舉凡數位溝通、個資保護或是對抗駭客攻擊時的立即因應之道，都是一次次地考驗公益組織面對新議題時的學習動能與數位韌性。有鑑於此，責信指標將要針對此番無可回頭的現象，與時俱進地進行一系列的討論和工作坊，讓公益團體面對現狀後能夠有未來依循的數位前進方向進而增強配備，迎接元宇宙的將來！

2021年8月發生公益組織捐款人個資詐騙事件，自律聯發揮中介組織角色，協助公益組織緊急因應處理，以保障廣大捐款人的權益，並持續於詐騙事件後關注此一面向相關進展，自律聯盟的理監事會成員－伊甸基金會與羅慧夫基金會，更是積極面對資訊安全與個人資料保護的重大挑戰，持續優化與精進內部管理與外部防禦，於2023年更進一步，挹注支持自律聯盟資訊安全計畫，由自律聯盟秘書處邀集6家公益組織，進行線上與實體的資訊安全健檢，一步步了解公益組織的數位與資訊安全發展現況，於此計畫中蒐集各利害關係人重要意見，歸納初步觀察如下：

1. 認知面(痛苦中的所得)
公益組織的資訊安全意識明顯提高，雖仍受限於經費、人才等資源面向的限制，基本的風險意識與認知是有顯著提升的。

2. 策略面(展望中的學習)
多數公益組織採取階段式因應策略，因個人資料普遍存在於組織的多個系統
當中，事涉大筆經費投入、達成目標等重要決策、組織內人力時間等複雜因
素，多數依據不同的核心業務，使用不同的系統平台，從先降低外洩風險，
再視內部能量慢慢規劃、逐步轉移。

3. 困境面(狀態中的掙扎)
(1) 缺乏明確指引與目標、難以評估資源配置
Ｖ個人資料保護、資訊安全涉及面向極廣，又不似上市櫃公司有明確法遵規定，應該做到什麼程度難以評估，若無明確的法律效果，多數組織儘管意識提高，但也無法規劃相關資源投入，無論資源是否存在餘裕空間，公益組織普遍依然會專注在服務本業上。
Ｖ目前部分主管機關，已逐步開始加強組織對於資訊安全的了解、進行對公設法人的行政檢查，各主管機關關切與管理程度不盡相同。
Ｖ科技變化迅速，資訊安全已然是軍備競賽，公益組織雖尚未大規模地被列為攻擊對象，但因無具體遵循目標，亦難以評估應遵守的基本規範。

(2) 組織內部文化轉變困難
Ｖ公益組織長期缺乏資訊背景人員，雖部分組織已針對現有人力進行相關培訓，但現階段缺乏專職或穩定的資訊技術資源，還是難以面對當前的組織需求。
Ｖ無論進行內部培訓或外聘專業人員，組織資訊安全的難點在於，組織內的任何人無法獨善其身，每個人都可能成為短板，資訊安全與作業便利時常處於排擠關係，資深人員對於數位的恐懼亦為轉變的原因之一，組織管理者必須有意識地將此列為組織治理重點，且配置對應人力，而非將重擔壓在第一時間需要接觸數位新工具的服務夥伴，然而最常見的情形多為由管理者或負責行銷公關的夥伴一肩扛起，同時要面對不熟悉的數位議題、又須負責內部溝通。

展望未來，自律聯盟將廣納公益生態圈與資訊安全相關的利害關係人，包括公益組織管理者、公益組織負責數位相關的夥伴或資訊人員、資訊服務供應商、平台服務商、資訊安全專家、政府監理部門與主管機關，集眾之智、適度參採國外模式，共創出邁向數位時代上適合公益組織的自我責信指標、實際檢核項目，與時俱進地落實責信精神！

2023年資訊安全計畫專業合作團隊：
ArcRan互聯安睿資通股份有限公司、Oen應援科技

相關參考資料：
捐款人詐騙事件危機處理大事紀
個人資料保護法
個人資料保護法施行細則
財團法人法
社會福利機構個人資料檔案安全維護計畫實施辦法
內政部指定合作及人民團體類非公務機關個人資料檔案安全維護管理辦法
內政部指定合作及人民團體類非公務機關個人資料檔案安全維護管理辦法