資通安全責任等級分級辦法

1

資通安全責任等級分級辦法

第一條 本辦法依資通安全管理法（以下簡稱本法）第七條 第一項規定訂定之。

第二條 公務機關及特定非公務機關（以下簡稱各機關）之 資通安全責任等級，由高至低，分為 A 級、B 級、C 級、

D 級及 E 級。

第三條 主管機關應每二年核定自身資通安全責任等級。

行政院直屬機關應每二年提交自身、所屬或監督之 公務機關及所管之特定非公務機關之資通安全責任等級，

報主管機關核定。

直轄市、縣（市）政府應每二年提交自身、所屬或 監督之公務機關，與所轄鄉（鎮、市）、直轄市山地原 住民區公所及其所屬或監督之公務機關之資通安全責任 等級，報主管機關核定。

直轄市及縣（市）議會、鄉（鎮、市）民代表會及 直轄市山地原住民區民代表會應每二年提交自身資通安 全責任等級，由其所在區域之直轄市、縣（市）政府彙 送主管機關核定。

總統府、國家安全會議、立法院、司法院、考試院 及監察院應每二年核定自身、所屬或監督之公務機關及 所管之特定非公務機關之資通安全責任等級，送主管機 關備查。

各機關因組織或業務調整，致須變更原資通安全責 任等級時，應即依前五項規定程序辦理等級變更；有新 設機關時，亦同。

第一項至第五項公務機關辦理資通安全責任等級之 提交或核定，就公務機關或特定非公務機關內之單位，

認有另列與該機關不同等級之必要者，得考量其業務性 質，依第四條至第十條規定認定之。

第四條 各機關有下列情形之一者，其資通安全責任等級為 A 級：

一、 業務涉及國家機密。

2

二、 業務涉及外交、國防或國土安全事項。

三、 業務涉及全國性民眾服務或跨公務機關共用性 資通系統之維運。

四、 業務涉及全國性民眾或公務員個人資料檔案之 持有。

五、 屬公務機關，且業務涉及全國性之能源、水資 源、通訊傳播、交通、銀行與金融、緊急救援 事項。

六、 屬關鍵基礎設施提供者，且業務經中央目的事 業主管機關考量其提供或維運關鍵基礎設施服 務之用戶數、市場占有率、區域、可替代性，

認其資通系統失效或受影響，對社會公共利益、

民心士氣或民眾生命、身體、財產安全將產生 災難性或非常嚴重之影響。

七、 屬公立醫學中心。

第五條 各機關有下列情形之一者，其資通安全責任等級為 B 級：

一、 業務涉及公務機關捐助或研發之敏感科學技術 資訊之安全維護及管理。

二、 業務涉及區域性、地區性民眾服務或跨公務機 關共用性資通系統之維運。

三、 業務涉及區域性或地區性民眾個人資料檔案之 持有。

四、 屬公務機關，且業務涉及區域性或地區性之能 源、水資源、通訊傳播、交通、銀行與金融、

緊急救援事項。

五、 屬關鍵基礎設施提供者，且業務經中央目的事 業主管機關考量其提供或維運關鍵基礎設施服 務之用戶數、市場占有率、區域、可替代性，

認其資通系統失效或受影響，對社會公共利益、

民心士氣或民眾生命、身體、財產安全將產生 嚴重影響。

六、 屬公立區域醫院或地區醫院。

3

第六條 各機關維運自行或委外開發之資通系統者，其資通 安全責任等級為 C 級。

第七條 各機關自行辦理資通業務，未維運自行或委外開發 之資通系統者，其資通安全責任等級為 D 級。

第八條 各機關有下列情形之一者，其資通安全責任等級為 E 級：

一、 無資通系統且未提供資通服務。

二、 屬公務機關，且其全部資通業務由其上級或監 督機關兼辦或代管。

三、 屬特定非公務機關，且其全部資通業務由其中 央目的事業主管機關、中央目的事業主管機關 所屬公務機關，或中央目的事業主管機關所管 特定非公務機關兼辦或代管。

第九條 各機關依第四條至前條規定，符合二個以上之資通 安全責任等級者，其資通安全責任等級列為其符合之最 高等級。

第十條 各機關之資通安全責任等級依前六條規定認定之。

但第三條第一項至第五項之公務機關提交或核定資通安 全責任等級時，得考量下列事項對國家安全、社會公共 利益、人民生命、身體、財產安全或公務機關聲譽之影 響程度，調整各機關之等級：

一、 業務涉及外交、國防、國土安全、全國性、區 域性或地區性之能源、水資源、通訊傳播、交 通、銀行與金融、緊急救援與醫院業務者，其 中斷或受妨礙。

二、 業務涉及個人資料、公務機密或其他依法規或 契約應秘密之資訊者，其資料、公務機密或其 他資訊之數量與性質，及遭受未經授權之存取、

使用、控制、洩漏、破壞、竄改、銷毀或其他 侵害。

三、 各機關依層級之不同，其功能受影響、失效或 中斷。

四、 其他與資通系統之提供、維運、規模或性質相

4

關之具體事項。

第十一條 各機關應依其資通安全責任等級，辦理附表一至 附表八之事項。

各機關自行或委外開發之資通系統應依附表九所 定資通系統防護需求分級原則完成資通系統分級，並 依附表十所定資通系統防護基準執行控制措施；關鍵 基礎設施提供者之中央目的事業主管機關就特定類型 資通系統之防護基準認有另為規定之必要者，得自行 擬訂防護基準，報請主管機關核定後，依其規定辦理。

各機關辦理附表一至附表八所定事項或執行附表 十所定控制措施，因技術限制、個別資通系統之設計、

結構或性質等因素，就特定事項或控制措施之辦理或 執行顯有困難者，得經第三條第二項至第四項所定其 等級提交機關或同條第五項所定其等級核定機關同意，

並報請主管機關備查後，免執行該事項或控制措施。

公務機關之資通安全責任等級為 A 級或 B 級者，

應依主管機關指定之方式，提報第一項及第二項事項 之辦理情形。

中央目的事業主管機關得要求所管特定非公務機 關，依其指定之方式提報第一項及第二項事項之辦理 情形。

第十二條 本辦法之施行日期，由主管機關定之。

5

附表一 資通安全責任等級 A 級之公務機關應辦事項

制度面向 辦理項目 辦理項目細項 辦理內容

管理面

資通系統分級及防護基準

初次受核定或等級變更後之一年內，

針對自行或委外開發之資通系統，依 附表九完成資通系統分級，並完成附 表十之控制措施；其後應每年至少檢 視一次資通系統分級妥適性。

資訊安全管理系統之導入及通 過公正第三方之驗證

初次受核定或等級變更後之二年內，

全部核心資通系統導入 CNS 27001資訊 安全管理系統國家標準、其他具有同 等或以上效果之系統或標準，或其他 公務機關自行發展並經主管機關認可 之標準，於三年內完成公正第三方驗 證，並持續維持其驗證有效性。

資通安全專責人員 初次受核定或等級變更後之一年內，

配置四人；須以專職人員配置之。

內部資通安全稽核 每年辦理二次。

業務持續運作演練 全部核心資通系統每年辦理一次。

資安治理成熟度評估 每年辦理一次。

技術面

安全性檢測

網 站 安 全 弱 點

檢測 全部核心資通系統每年辦理二次。

系統滲透測試 全部核心資通系統每年辦理一次。

資 通 安 全 健 診

網路架構檢視

每年辦理一次。

網 路 惡 意 活 動 檢視

使 用 者 端 電 腦 惡意活動檢視 伺 服 器 主 機 惡 意活動檢視 目 錄 伺 服 器 設 定 及 防 火 牆 連 線設定檢視

資通安全威脅偵測管理機制

初次受核定或等級變更後之一年內，

完成威脅偵測機制建置，並持續維運 及依主管機關指定之方式提交監控管 理資料。

政府組態基準

初次受核定或等級變更後之一年內，

依主管機關公告之項目，完成政府組 態基準導入作業，並持續維運。

資 通 安 全 防護

防毒軟體 初次受核定或等級變更後之一年內，

完成各項資通安全防護措施之啟用，

網路防火牆

6

具有郵件伺服器 者，應備電子郵 件過濾機制

並持續使用及適時進行軟、硬體之必 要更新或升級。

入侵偵測及防禦 機制

具有對外服務之 核 心 資 通 系 統 者，應備應用程 式防火牆

進階持續性威脅 攻擊防禦措施

認 知 與訓練

資 通 安 全 教育訓練

資通安全及資訊 人員

每年至少四名人員各接受十二小時以 上之資通安全專業課程訓練或資通安 全職能訓練。

一般使用者及主 管

每人每年接受三小時以上之一般資通 安全教育訓練。

資 通 安 全 專 業 證 照 及 職 能 訓 練證書

資通安全專業證 照

初次受核定或等級變更後之一年內，

資通安全專職人員總計應持有四張以 上，並持續維持證照之有效性。

資通安全職能評 量證書

初次受核定或等級變更後之一年內，

資通安全專職人員總計應持有四張以 上，並持續維持證書之有效性。

備註：

一、

資通系統之性質為共用性系統者，由該資通系統之主責設置、維護或開發機關 判斷是否屬於核心資通系統。

二、

「公正第三方驗證」所稱第三方，指通過我國標準法主管機關委託機構認證之 機構。

三、

資通安全專職人員，指應全職執行資通安全業務者。

四、

公務機關辦理本表「資通安全健診」時，除依本表所定項目、內容及時限執行 外，亦得採取經主管機關認可之其他具有同等或以上效用之措施。

五、

資通安全專業證照，指由主管機關認可之國內外發證機關（構）所核發之資通 安全證照。

7

附表二 資通安全責任等級 A 級之特定非公務機關應辦事項

制度面向 辦理項目 辦理項目細項 辦理內容

管理面

資通系統分級及防護基準

初次受核定或等級變更後之一年內，針 對自行或委外開發之資通系統，依附表 九完成資通系統分級，並完成附表十之 控制措施；其後應每年至少檢視一次資 通系統分級妥適性。

資訊安全管理系統之導入及通 過公正第三方之驗證

初次受核定或等級變更後之二年內，全 部核心資通系統導入 CNS 27001資訊安 全管理系統國家標準、其他具有同等或 以上效果之系統或標準，或其他公務機 關自行發展並經主管機關認可之標準，

於三年內完成公正第三方驗證，並持續 維持其驗證有效性。

資通安全專責人員 初次受核定或等級變更後之一年內，配 置四人。

內部資通安全稽核 每年辦理二次。

業務持續運作演練 全部核心資通系統每年辦理一次。

技術面

安全性檢測

網 站 安 全 弱 點

檢測 全部核心資通系統每年辦理二次。

系統滲透測試 全部核心資通系統每年辦理一次。

資 通 安 全 健 診

網路架構檢視

每年辦理一次。

網 路 惡 意 活 動 檢視

使 用 者 端 電 腦 惡意活動檢視 伺 服 器 主 機 惡 意活動檢視 目 錄 伺 服 器 設 定 及 防 火 牆 連 線設定檢視

資通安全威脅偵測管理機制 初次受核定或等級變更後之一年內，完 成威脅偵測機制建置，並持續維運。

資 通 安 全 防護

防毒軟體

初次受核定或等級變更後之一年內，完 成各項資通安全防護措施之啟用，並持 續使用及適時進行軟、硬體之必要更新 或升級。

網路防火牆 具 有 郵 件 伺 服 器 者 ， 應 備 電 子 郵 件 過 濾 機 制

入 侵 偵 測 及 防 禦機制

具 有 對 外 服 務 之 核 心 資 通 系

8

統 者 ， 應 備 應 用程式防火牆 進 階 持 續 性 威 脅 攻 擊 防 禦 措 施

認 知 與訓練

資 通 安 全 教育訓練

資 通 安 全 及 資 訊人員

每年至少四名人員各接受十二小時以上 之資通安全專業課程訓練或資通安全職 能訓練。

一 般 使 用 者 及 主管

每人每年接受三小時以上之一般資通安 全教育訓練。

資通安全專業證照

初次受核定或等級變更後之一年內，資 通安全專責人員總計應持有四張以上，

並持續維持證照之有效性。

備註：

一、

資通系統之性質為共用性系統者，由該資通系統之主責設置、維護或開發機關 判斷是否屬於核心資通系統。

二、

「公正第三方驗證」所稱第三方，指通過我國標準法主管機關委託機構認證之 機構。

三、

特定非公務機關辦理本表「資通安全健診」時，除依本表所定項目、內容及時 限執行外，亦得採取經中央目的事業主管機關認可之其他具有同等或以上效用 之措施。

四、

特定非公務機關之中央目的事業主管機關得視實際需求，於符合本辦法規定之 範圍內，另行訂定其所管特定非公務機關之資通安全應辦事項。

五、

資通安全專業證照，指由主管機關認可之國內外發證機關（構）所核發之資通 安全證照。

9

附表三 資通安全責任等級 B 級之公務機關應辦事項

制度面向 辦理項目 辦理項目細項 辦理內容

管理面

資通系統分級及防護基準

初次受核定或等級變更後之一年內，針 對自行或委外開發之資通系統，依附表 九完成資通系統分級，並完成附表十之 控制措施；其後應每年至少檢視一次資 通系統分級妥適性。

資訊安全管理系統之導入及通 過公正第三方之驗證

初次受核定或等級變更後之二年內，全 部核心資通系統導入 CNS 27001資訊安 全管理系統國家標準、其他具有同等或 以上效果之系統或標準，或其他公務機 關自行發展並經主管機關認可之標準，

於三年內完成公正第三方驗證，並持續 維持其驗證有效性。

資通安全專責人員 初次受核定或等級變更後之一年內，配 置二人；須以專職人員配置之。

內部資通安全稽核 每年辦理一次。

業務持續運作演練 全部核心資通系統每二年辦理一次。

資安治理成熟度評估 每年辦理一次。

技術面

安全性檢測

網 站 安 全 弱 點

檢測 全部核心資通系統每年辦理一次。

系統滲透測試 全部核心資通系統每二年辦理一次。

資 通 安 全 健 診

網路架構檢視

每二年辦理一次。

網 路 惡 意 活 動 檢視

使 用 者 端 電 腦 惡意活動檢視 伺 服 器 主 機 惡 意活動檢視 目 錄 伺 服 器 設 定 及 防 火 牆 連 線設定檢視

資通安全威脅偵測管理機制

初次受核定或等級變更後之一年內，完 成威脅偵測機制建置，並持續維運及依 主管機關指定之方式提交監控管理資 料。

政府組態基準

初次受核定或等級變更後之一年內，依 主管機關公告之項目，完成政府組態基 準導入作業，並持續維運。

資 通 安 全 防護

防毒軟體 初次受核定或等級變更後之一年內，完 成各項資通安全防護措施之啟用，並持 續使用及適時進行軟、硬體之必要更新 或升級。

網路防火牆 具 有 郵 件 伺 服 器 者 ， 應 備 電

10

子 郵 件 過 濾 機 制

入 侵 偵 測 及 防 禦機制

具 有 對 外 服 務 之 核 心 資 通 系 統 者 ， 應 備 應 用程式防火牆

認 知 與訓練

資 通 安 全 教育訓練

資 通 安 全 及 資 訊人員

每年至少二名人員各接受十二小時以上 之資通安全專業課程訓練或資通安全職 能訓練。

一 般 使 用 者 及 主管

每人每年接受三小時以上之一般資通安 全教育訓練。

資 通 安 全 專 業 證 照 及 職 能訓練證書

資 通 安 全 專 業 證照

初次受核定或等級變更後之一年內，資 通安全專職人員總計應持有二張以上，

並持續維持證照之有效性。

資 通 安 全 職 能 評量證書

初次受核定或等級變更後之一年內，資 通安全專職人員總計應持有二張以上，

並持續維持證書之有效性。

備註：

一、

資通系統之性質為共用性系統者，由該資通系統之主責設置、維護或開發機關 判斷是否屬於核心資通系統。

二、

「公正第三方驗證」所稱第三方，指通過我國標準法主管機關委託機構認證之 機構。

三、

資通安全專職人員，指應全職執行資通安全業務者。

四、

公務機關辦理本表「資通安全健診」時，除依本表所定項目、內容及時限執行 外，亦得採取經主管機關認可之其他具有同等或以上效用之措施。

五、

資通安全專業證照，指由主管機關認可之國內外發證機關（構）所核發之資通 安全證照。

11

附表四 資通安全責任等級 B 級之特定非公務機關應辦事項

制度面向 辦理項目 辦理項目細項 辦理內容

管理面

資通系統分級及防護基準

初次受核定或等級變更後之一年內，

針對自行或委外開發之資通系統，依 附表九完成資通系統分級，並完成附 表十之控制措施；其後應每年至少檢 視一次資通系統分級妥適性。

資訊安全管理系統之導入及通 過公正第三方之驗證

初次受核定或等級變更後之二年內，

全部核心資通系統導入 CNS 27001資訊 安全管理系統國家標準、其他具有同 等或以上效果之系統或標準，或其他 公務機關自行發展並經主管機關認可 之標準，於三年內完成公正第三方驗 證，並持續維持其驗證有效性。

資通安全專責人員 初次受核定或等級變更後之一年內，

配置二人。

內部資通安全稽核 每年辦理一次。

業務持續運作演練 全部核心資通系統每二年辦理一次。

技術面

安全性檢測

網 站 安 全 弱 點

檢測 全部核心資通系統每年辦理一次。

系統滲透測試 全部核心資通系統每二年辦理一次。

資 通 安 全 健 診

網路架構檢視

每二年辦理一次。

網 路 惡 意 活 動 檢視

使 用 者 端 電 腦 惡意活動檢視 伺 服 器 主 機 惡 意活動檢視 目 錄 伺 服 器 設 定 及 防 火 牆 連 線設定檢視 資通安全威脅偵測管理機制

初次受核定或等級變更後之一年內，

完 成 威 脅 偵 測 機 制 建 置 ， 並 持 續 維 運。

資 通 安 全 防護

防毒軟體

初次受核定或等級變更後之一年內，

完成各項資通安全防護措施之啟用，

並持續使用及適時進行軟、硬體之必 要更新或升級。

網路防火牆 具 有 郵 件 伺 服 器 者 ， 應 備 電 子 郵 件 過 濾 機 制

入 侵 偵 測 及 防 禦機制

12

具 有 對 外 服 務 之 核 心 資 通 系 統 者 ， 應 備 應 用程式防火牆

認 知 與訓練

資 通 安 全 教育訓練

資 通 安 全 及 資 訊人員

每年至少二名人員各接受十二小時以 上之資通安全專業課程訓練或資通安 全職能訓練。

一 般 使 用 者 及 主管

每人每年接受三小時以上之一般資通 安全教育訓練。

資通安全專業證照

初次受核定或等級變更後之一年內，

資通安全專責人員總計應持有二張以 上，並持續維持證照之有效性。

備註：

一、

資通系統之性質為共用性系統者，由該資通系統之主責設置、維護或開發機關 判斷是否屬於核心資通系統。

二、

「公正第三方驗證」所稱第三方，指通過我國標準法主管機關委託機構認證之 機構。

三、

特定非公務機關辦理本表「資通安全健診」時，除依本表所定項目、內容及時 限執行外，亦得採取經中央目的事業主管機關認可之其他具有同等或以上效用 之措施。

四、

特定非公務機關之中央目的事業主管機關得視實際需求，於符合本辦法規定之 範圍內，另行訂定其所管特定非公務機關之資通安全應辦事項。

五、

資通安全專業證照，指由主管機關認可之國內外發證機關（構）所核發之資通 安全證照。

13

附表五 資通安全責任等級 C 級之公務機關應辦事項

制度面向 辦理項目 辦理項目細項 辦理內容

管理面

資通系統分級及防護基準

初次受核定或等級變更後之一年內，

針對自行或委外開發之資通系統，依 附表九完成資通系統分級，其後應每 年 至 少 檢 視 一 次 資 通 系 統 分 級 妥 適 性；系統等級為「高」者，應於初次 受核定或等級變更後之二年內，完成 附表十之控制措施。

資訊安全管理系統之導入

初次受核定或等級變更後之二年內，

全部核心資通系統導入 CNS 27001資訊 安全管理系統國家標準、其他具有同 等或以上效果之系統或標準，或其他 公務機關自行發展並經主管機關認可 之標準，並持續維持導入。

資通安全專責人員 初次受核定或等級變更後之一年內，

配置一人；須以專職人員配置之。

內部資通安全稽核 每二年辦理一次。

業務持續運作演練 全部核心資通系統每二年辦理一次。

技術面

安全性檢測

網 站 安 全 弱 點

檢測 全部核心資通系統每二年辦理一次。

系統滲透測試 全部核心資通系統每二年辦理一次。

資 通 安 全 健 診

網路架構檢視

每二年辦理一次。

網 路 惡 意 活 動 檢視

使 用 者 端 電 腦 惡意活動檢視 伺 服 器 主 機 惡 意活動檢視 目 錄 伺 服 器 設 定 及 防 火 牆 連 線設定檢視

資 通 安 全 防護

防毒軟體

初次受核定或等級變更後之一年內，

完成各項資通安全防護措施之啟用，

並持續使用及適時進行軟、硬體之必 要更新或升級。

網路防火牆 具 有 郵 件 伺 服 器 者 ， 應 備 電 子 郵 件 過 濾 機 制

認 知 與訓練

資 通 安 全 教育訓練

資 通 安 全 及 資 訊人員

每年至少一名人員接受十二小時以上 之資通安全專業課程訓練或資通安全 職能訓練。

14

一 般 使 用 者 及 主管

每人每年接受三小時以上之一般資通 安全教育訓練。

資 通 安 全 專 業 證 照 及 職 能訓練證書

資 通 安 全 專 業 證照

資通安全專職人員總計應持有一張以 上。

資 通 安 全 職 能 評量證書

初次受核定或等級變更後之一年內，

資通安全專職人員總計應持有一張以 上，並持續維持證書之有效性。

備註：

一、

資通系統之性質為共用性系統者，由該資通系統之主責設置、維護或開發機關 判斷是否屬於核心資通系統。

二、

資通安全專職人員，指應全職執行資通安全業務者。

三、

公務機關辦理本表「資通安全健診」時，除依本表所定項目、內容及時限執行 外，亦得採取經主管機關認可之其他具有同等或以上效用之措施。

四、

資通安全專業證照，指由主管機關認可之國內外發證機關（構）所核發之資通 安全證照。

15

附表六 資通安全責任等級 C 級之特定非公務機關應辦事項

制度面向 辦理項目 辦理項目細項 辦理內容

管理面

資通系統分級及防護基準

初次受核定或等級變更後之一年內，

針對自行或委外開發之資通系統，依 附表九完成資通系統分級，其後應每 年 至 少 檢 視 一 次 資 通 系 統 分 級 妥 適 性；系統等級為「高」者，應於初次 受核定或等級變更後之二年內，完成 附表十之控制措施。

資訊安全管理系統之導入

初次受核定或等級變更後之二年內，

全部核心資通系統導入 CNS 27001資訊 安全管理系統國家標準、其他具有同 等或以上效果之系統或標準，或其他 公務機關自行發展並經主管機關認可 之標準，並持續維持導入。

資通安全專責人員 初次受核定或等級變更後之一年內，

配置一人。

內部資通安全稽核 每二年辦理一次。

業務持續運作演練 全部核心資通系統每二年辦理一次。

技術面

安全性檢測

網 站 安 全 弱 點

檢測 全部核心資通系統每二年辦理一次。

系統滲透測試 全部核心資通系統每二年辦理一次。

資 通 安 全 健 診

網路架構檢視

每二年辦理一次。

網 路 惡 意 活 動 檢視

使 用 者 端 電 腦 惡意活動檢視 伺 服 器 主 機 惡 意活動檢視 目 錄 伺 服 器 設 定 及 防 火 牆 連 線設定檢視

資 通 安 全 防護

防毒軟體

初次受核定或等級變更後之一年內，

完成各項資通安全防護措施之啟用，

並持續使用及適時進行軟、硬體之必 要更新或升級。

網路防火牆 具 有 郵 件 伺 服 器 者 ， 應 備 電 子 郵 件 過 濾 機 制

認 知 與訓練

資 通 安 全 教育訓練

資 通 安 全 及 資 訊人員

每年至少一名人員接受十二小時以上 之資通安全專業課程訓練或資通安全 職能訓練。

16

一 般 使 用 者 及 主管

每人每年接受三小時以上之一般資通 安全教育訓練。

資通安全專業證照

初次受核定或等級變更後之一年內，

資通安全專責人員總計應持有一張以 上，並持續維持證照之有效性。

備註：

一、

資通系統之性質為共用性系統者，由該資通系統之主責設置、維護或開發機關 判斷是否屬於核心資通系統。

二、

特定非公務機關辦理本表「資通安全健診」時，除依本表所定項目、內容及時 限執行外，亦得採取經中央目的事業主管機關認可之其他具有同等或以上效用 之措施。

三、

特定非公務機關之中央目的事業主管機關得視實際需求，於符合本辦法規定之 範圍內，另行訂定其所管特定非公務機關之資通安全應辦事項。

四、

資通安全專業證照，指由主管機關認可之國內外發證機關（構）所核發之資通 安全證照。

17

附表七 資通安全責任等級 D 級之各機關應辦事項

制度面向 辦理項目 辦理項目細項 辦理內容

技術面 資 通 安 全 防護

防毒軟體

初次受核定或等級變更後之一年內，

完成各項資通安全防護措施之啟用，

並持續使用及適時進行軟、硬體之必 要更新或升級。

網路防火牆 具 有 郵 件 伺 服 器 者 ， 應 備 電 子 郵 件 過 濾 機 制

認 知 與訓練

資 通 安 全 教育訓練

一 般 使 用 者 及 主管

每人每年接受三小時以上之一般資通 安全教育訓練。

備註：特定非公務機關之中央目的事業主管機關得視實際需求，於符合本辦法規定 之範圍內，另行訂定其所管特定非公務機關之資通安全應辦事項。

18

附表八 資通安全責任等級 E 級之各機關應辦事項

制度面向 辦理項目 辦理項目細項 辦理內容 認 知

與訓練

資 通 安 全 教育訓練

一 般 使 用 者 及 主管

每人每年接受三小時以上之一般資通 安全教育訓練。

備註：特定非公務機關之中央目的事業主管機關得視實際需求，於符合本辦法規定 之範圍內，另行訂定其所管特定非公務機關之資通安全應辦事項。

19

附表九 資通系統防護需求分級原則

防護需求 等級 構面

高 中 普

機密性

發生資通安全事件致資 通系統受影響時，可能 造成未經授權之資訊揭 露，對機關之營運、資 產或信譽等方面將產生 非常嚴重或災難性之影 響。

發生資通安全事件致資 通系統受影響時，可能 造成未經授權之資訊揭 露，對機關之營運、資 產或信譽等方面將產生 嚴重之影響。

發生資通安全事件致資 通系統受影響時，可能 造成未經授權之資訊揭 露，對機關之營運、資 產或信譽等方面將產生 有限之影響。

完整性

發生資通安全事件致資 通系統受影響時，可能 造成資訊錯誤或遭竄改 等 情 事 ， 對 機 關 之 營 運、資產或信譽等方面 將產生非常嚴重或災難 性之影響。

發生資通安全事件致資 通系統受影響時，可能 造成資訊錯誤或遭竄改 等 情 事 ， 對 機 關 之 營 運、資產或信譽等方面 將產生嚴重之影響。

發生資通安全事件致資 通系統受影響時，可能 造成資訊錯誤或遭竄改 等 情 事 ， 對 機 關 之 營 運、資產或信譽等方面 將產生有限之影響。

可用性

發生資通安全事件致資 通系統受影響時，可能 造成對資訊、資通系統 之存取或使用之中斷，

對機關之營運、資產或 信譽等方面將產生非常 嚴重或災難性之影響。

發生資通安全事件致資 通系統受影響時，可能 造成對資訊、資通系統 之存取或使用之中斷，

對機關之營運、資產或 信譽等方面將產生嚴重 之影響。

發生資通安全事件致資 通系統受影響時，可能 造成對資訊、資通系統 之存取或使用之中斷，

對機關之營運、資產或 信譽等方面將產生有限 之影響。

法律遵循性

如未確實遵循資通系統 設置或運作涉及之資通 安全相關法令，可能使 資通系統受影響而導致 資通安全事件，或影響 他人合法權益或機關執 行業務之公正性及正當 性，並使機關所屬人員 負刑事責任。

如未確實遵循資通系統 設置或運作涉及之資通 安全相關法令，可能使 資通系統受影響而導致 資通安全事件，或影響 他人合法權益或機關執 行業務之公正性及正當 性，並使機關或其所屬 人員受行政罰、懲戒或 懲處。

其他資通系統設置或運 作於法令有相關規範之 情形。

備註：資通系統之防護需求等級，以與該系統相關之機密性、完整性、可用性及法律遵循 性構面中，任一構面之防護需求等級之最高者定之。

20

附表十 資通系統防護基準

系統防護需求 分級

控制措施 高 中 普

構面 措施內容

存 取 控 制

帳號管 理

一、逾越機關所定預期 閒置時間或可使用 期限時，系統應自 動將使用者登出。

二、 應依機關規定之情 況及條件，使用資 通系統。

三、 監 控 資 通 系 統 帳 號，如發現帳號違 常使用時回報管理 者。

四、 等級「中」之所有 控制措施。

一、已逾期之臨時或緊 急帳號應刪除或禁 用。

二、 資通系統閒置帳號 應禁用。

三、 定期審核資通系統 帳 號 之 建 立 、 修 改、啟用、禁用及 刪除。

四、 等級「普」之所有 控制措施。

建立帳號管理機制，包 含帳號之申請、開通、

停用及刪除之程序。

最小權 限

採最小權限原則，僅允許使用者（或代表使用者 行為之程序）依機關任務及業務功能，完成指派 任務所需之授權存取。

無要求。

遠端存 取

一、應監控資通系統遠端連線。

二、 資通系統應採用加密機制。

三、 資通系統遠端存取之來源應為機關已預先定 義及管理之存取控制點。

四、 等級「普」之所有控制措施。

對於每一種允許之遠端 存取類型，均應先取得 授權，建立使用限制、

組態需求、連線需求及 文件化，使用者之權限 檢查作業應於伺服器端 完成。

稽 核 與 可 歸 責 性

稽核事 件

一、應定期審查稽核事件。

二、 等級「普」之所有控制措施。

一、依規定時間週期及 紀錄留存政策，保 留稽核紀錄。

二、 確保資通系統有稽 核 特 定 事 件 之 功 能，並決定應稽核 之特定資通系統事 件。

三、 應稽核資通系統管 理者帳號所執行之 各項功能。

稽核紀 錄內容

一、資通系統產生之稽核紀錄，應依需求納入其 他相關資訊。

二、 等級「普」之所有控制措施。

資通系統產生之稽核紀 錄應包含事件類型、發 生時間、發生位置及任 何與事件相關之使用者

21

身分識別等資訊，並採 用單一日誌紀錄機制，

確 保 輸 出 格 式 之 一 致 性。

稽核儲 存容量

依據稽核紀錄儲存需求，配置稽核紀錄所需之儲存容量。

稽核處 理失效 之回應

一、機關規定需要即時 通報之稽核失效事 件發生時，資通系 統應於機關規定之 時效內，對特定人 員提出警告。

二、等 級 「 中 」 及

「普」之所有控制 措施。

資通系統於稽核處理失效時，應採取適當 之 行 動。

時戳及 校時

一、系統內部時鐘應依機關規定之時間週期與基 準時間源進行同步。

二、 等級「普」之所有控制措施。

資通系統應 使用 系 統 內 部時鐘產生 稽核 紀 錄 所 需時戳，並 可以 對 應 到 世界協調時間(UTC)或格 林威治標準時間(GMT)。

稽核資 訊之保 護

一、定期備份稽核紀錄 至與原稽核系統不 同之實體系統。

二、 等級「中」之所有 控制措施。

一、應運用雜湊或其他 適當方式之完整性 確保機制。

二、等級「普」之所有 控制措施。

對 稽 核 紀 錄 之 存 取 管 理，僅限於 有權 限 之 使 用者。

營 運 持 續計畫

系統備 份

一、應將備份還原，作 為營運持續計畫測 試之一部分。

二、 應在與運作系統不 同處之獨立設施或 防火櫃中，儲存重 要資通系統軟體與 其他安全相關資訊 之備份。

三、 等級「中」之所有 控制措施。

一、應定期測試備份資 訊，以驗證備份媒 體之可靠性及資訊 之完整性。

二、 等 級 「 普 」 之 所 有控制措施。

一、訂 定 系 統 可 容 忍 資 料 損 失 之 時 間 要 求。

二、 執 行 系 統 源 碼 與 資 料備份。

系統備 援

一、訂定資通系統從中斷後至重新恢復服務之可 容忍時間要求。

二、 原服務中斷時，於可容忍時間內，由備援設 備取代提供服務。

無要求。

識 別 與 鑑別

內部使 用者之

一、對帳號之網路或本 機存取採取多重認 證技術。

資通系統應具備唯一識別及鑑別機關使用者(或代 表機關使用者行為之程序)之功能，禁止使用共用 帳號。

22

識別與 鑑別

二、 等 級 「 中 」 及

「普」之所有控制 措施。

身分驗 證管理

一、身分驗證機制應防範自動化程式之登入或密 碼更換嘗試。

二、密碼重設機制對使用者重新身分確認後，發 送一次性及具有時效性符記。

三、等級「普」之所有控制措施。

一、使用預設密碼登入 系 統 時 ， 應 於 登 入 後要求立即變更。

二、身分驗證相關資訊 不以明文傳輸。

三 、 具 備 帳 戶 鎖 定 機 制 ， 帳 號 登 入 進 行 身 分 驗 證 失 敗 達 三 次 後 ， 至 少 十 五 分 鐘 內 不 允 許 該 帳 號 繼 續 嘗 試 登 入 或 使 用 機 關 自 建 之 失 敗 驗證機制。

四、基於密碼之鑑別資 通 系 統 應 強 制 最 低 密 碼 複 雜 度 ； 強 制 密 碼 最 短 及 最 長 之 效期限制。

五 、 使 用 者 更 換 密 碼 時 ， 至 少 不 可 以 與 前 三 次 使 用 過 之 密 碼相同。

六、第四點及第五點所 定 措 施 ， 對 非 內 部 使 用 者 ， 可 依 機 關 自行規範辦理。

鑑別資 訊回饋

資通系統應遮蔽鑑別過程中之資訊。

加密模 組鑑別

資通系統如以密碼進行鑑別時，該密碼應加密或 經雜湊處理後儲存。

無要求。

非內部 使用者 之識別 與鑑別

資通系統應識別及鑑別非機關使用者(或代表機關使用者行為之程序)。

系 統 與 服 務 獲 得

系統發 展生命 週期需 求階段

針對系統安全需求（含機密性、可用性、完整性），以檢核表方式進行確 認。

系統發 展生命

一、根據系統功能與要求，識別可能影響系統之 威脅，進行風險分析及評估。

無要求。

23

週期設 計階段

二、 將風險評估結果回饋需求階段之檢核項目，

並提出安全需求修正。

系統發 展生命 週期開 發階段

一、執行「源碼掃描」

安全檢測。

二、具備系統嚴重錯誤 之通知機制。

三、 等 級 「 中 」 及

「普」之所有控制 措施。

一、應針對安全需求實作必要控制措施。

二、 應注意避免軟體常見漏洞及實作必要控制措 施。

三、 發生錯誤時，使用者頁面僅顯示簡短錯誤訊 息及代碼，不包含詳細之錯誤訊息。

系統發 展生命 週期測 試階段

一、執行「滲透測試」

安全檢測。

二、 等 級 「 中 」 及

「普」之所有控制 措施。

執行「弱點掃描」安全檢測。

系統發 展生命 週期部 署與維 運階段

一、於系統發展生命週期之維運階段，須注意版 本控制與變更管理。

二、 等級「普」之所有控制措施。

一、於部署環境中應針 對相關資通安全威 脅，進行更新與修 補，並關閉不必要 服務及埠口。

二 、 資 通 系 統 相 關 軟 體，不使用預設密 碼。

系統發 展生命 週期委 外階段

資通系統開發如委外辦理，應將系統發展生命週期各階段依等級將安全需求

（含機密性、可用性、完整性）納入委外契約。

獲得程 序

開發、測試及正式作業環境應為區隔。 無要求。

系統文 件

應儲存與管理系統發展生命週期之相關文件。

系 統 與 通 訊 保 護

傳輸之 機密性 與完整 性

一、資通系統應採用加 密機制，以防止未 授權之資訊揭露或 偵測資訊之變更。

但傳輸過程中有替 代之實體保護措施 者，不在此限。

二、使用公開、國際機 構驗證且未遭破解 之演算法。

三、支援演算法最大長 度金鑰。

無要求。 無要求。

24

四、加密金鑰或憑證週 期性更換。

五、 伺服器端之金鑰保 管應訂定管理規範 及實施應有之安全 防護措施。

資料儲 存之安 全

靜置資訊及相關具保護 需求之機密資訊應加密 儲存。

無要求。 無要求。

系 統 與 資 訊 完 整性

漏洞修 復

一、定期確認資通系統相關漏洞修復之狀態。

二、 等級「普」之所有控制措施。

系統之漏洞修復應測試 有效性及潛在影響，並 定期更新。

資通系 統監控

一、資通系統應採用自 動化工具監控進出 之通信流量，並於 發現不尋常或未授 權之活動時，針對 該事件進行分析。

二、等級「中」之所有 控制措施。

一、監控資通系統，以 偵測攻擊與未授權 之連線，並識別資 通系統之未授權使 用。

二、 等級「普」之所有 控制措施。

發現資通系統有被入侵 跡象時，應通報機關特 定人員。

軟體及 資訊完 整性

一、應定期執行軟體與 資訊完整性檢查。

二、等級「中」之所有 控制措施。

一、使用完整性驗證工 具，以偵測未授權 變更特定軟體及資 訊。

二、使用者輸入資料合 法性檢查應置放於 應 用 系 統 伺 服 器 端。

三、發 現 違 反 完 整 性 時，資通系統應實 施機關指定之安全 保護措施。

無要求。

備註：

一、靜置資訊，指資訊位於資通系統特定元件，例如儲存設備上之狀態，或與系統相關需要保 護之資訊，例如設定防火牆、閘道器、入侵偵測、防禦系統、過濾式路由器及鑑別符內容 等資訊。

二、特定非公務機關之中央目的事業主管機關得視實際需求，於符合本辦法規定之範圍內，另 行訂定其所管特定非公務機關之系統防護基準。