本項規定係因應未來科技發展所保留多元作業方式之彈性，公務機關或特定非公務機關針對特定之技術如有認定之需要，可以個案方式提出，由主管機關與中央目的事業主管機關認定。

C級機關如無核心資通系統，資通安全責任等級分級辦法應辦事項中針對核心資通系統之項目則無須辦理。

A、B、C級機關之核心資通系統，不論其屬IT或OT，皆應依資通安全責任等級分級辦法附表一至六之規定，辦理安全性檢測。

惟特定非公務機關之中央目的事業主管機關得就特定類型資通系統之防護基準認有另為規定之必要者，得自行擬訂防護基準（詳參資通安全責任等級分級辦法第11條第2項後段）。

資通安全健診對於使用者端電腦惡意活動檢視並無明確比例之規定，原則上檢測範圍為全機關，機關如囿於經費，可將部分非從事核心業務之使用者電腦，分年完成使用者電腦檢測 ，惟檢測週期不宜逾2年。

另建議機關單位正副主管以上及機要人員、資訊單位同仁、委外廠商駐點人員、維護機關核心資通系統之承辦同仁等電腦，應加強檢測頻率，以利及早掌握資安威脅狀態。

依資安法施行細則第10條規定之核心資通系統，係指滿足任一條件者（支持核心業務持續運作必要之系統、或資通系統防護需求等級為高），都為核心資通系統，核心資通系統的擇選範圍以應用系統為原則。

如該資通系統屬由其他機關（含上級機關）提供之共用性系統，則由該資通系統之主責設置、維護或開發機關判斷是否屬於核心資通系統（系統防護需求分級亦同），本原則並已列示於資通安全責任等級分級辦法附表一至六之備註一。

一、同等或以上效果之資訊安全管理系統或標準，係指資安法納管對象針對其特殊事業領域已有國際或國內慣用之特定資訊安全管理系統標準，且效果同等或高於CNS 27001或ISO 27001者，惟是否符合上開「同等或以上效果」，仍需依個案情形審認。

二、有關公正第三方係指通過我國標準法主管機關（經濟部）委託機構（財團法人全國認證基金會，TAF）認證之機構，可至TAF官網之「認證名錄」查詢「管理系統驗證機構」（https://www.taftw.org.tw/directory/scheme/msv）。

三、考量第三方驗證作業之公正性及獨立性，機關如委外辦理ISMS輔導及驗證時，輔導案及驗證案之服務契約，應分別招標。

考量資安法納管對象為全機關，並確保內部稽核有效性，機關內部資安稽核範圍應涵蓋機關資通安全維護計畫之適用範圍，而非僅限資訊單位，另建議先擬定整體稽核計畫，確認各單位之稽核頻率、稽核委員組成及稽核發現之後續追蹤管考機制等。

針對無建置資通系統之單位，稽核重點可針對同仁對資通系統之使用行為、社交工程演練落實情形及資安意識訓練等。

有關不同地點備份，宜朝「不遭受同一風險或事件影響」的方向考量，目前並未設置距離要求；有關距離建議，機關亦可參考「我國電腦機房異地備援機制參考指引」之「電腦機房異地備援選址評分表」，並依據業務關鍵性與成本效益進行評估，例如考量選址地點與活斷層之距離，為避免互相影響，將主機房與異地備援機房距離30公里以上，作為設置參考依據。 

各機關於日常維運資通系統時，應訂定日誌之記錄時間週期及留存政策，並保留日誌至少6個月，其保存項目建議如下：

1. 作業系統日誌(OS event log)
2. 網站日誌(web log)
3. 應用程式日誌(AP log)
4. 登入日誌(logon log)

另為確保資通安全事件發生時，各機關所保有跡證足以進行事件根因分析，相關日誌紀錄建議定期備份至與原日誌系統不同之實體，詳參國家資通安全研究院網站發布之「資通系統防護基準驗證實務」2.2.1.記錄事件章節之內容（https://www.nics.nat.gov.tw/cybersecurity_resources/reference_guide/Common_Standards/）。

一、A、B級公務機關應於初次受核定或等級變更後1年內依公告項目完成GCB導入並持續維運；主管機關公告新增項目後，亦應於公告後1年內完成導入。

二、GCB公告項目包括作業系統、瀏覽器、網通設備、應用程式等4類，原則均應導入且採「專版專用」原則。導入前應先行充分測試，且可依實務進行例外管理，惟須落實例外審核與定期檢討。

三、有關GCB相關說明文件、數位教材及部署資源，可參考國家資通安全研究院網站「政府組態基準(GCB)」專區。

有關資通安全責任等級分級辦法應辦事項列表中資通安全弱點管理，所稱「主管機關指定方式」係指針對安全性檢測、資通安全弱點比對作業及資安警訊等所發現弱點，應依機關內部規範處理時限，適時修補或採行風險緩解措施，落實弱點管理作為，並得納入機關內部稽核與管理審查等機制，進行檢討與改善。

• 一、資通安全弱點比對之管理範疇：
  (一)公務機關以全機關之資訊資產為原則；其中有關核心資通系統及其他支持核心業務持續運作相關之伺服器主機與使用者電腦，應依應辦事項辦理期限完成。
  (二)關鍵基礎設施提供者至少涵蓋核心資通系統、關鍵資訊基礎設施及其他支持核心業務持續運作相關之伺服器主機與使用者電腦，且應依應辦事項辦理期限完成。
• 二、資通安全弱點比對之作業頻率：原則依機關內部資通安全管理規範辦理，建議每季至少辦理1次，且相關弱點處置方式或改善措施，建議每季完成比對弱點後1個月內留存處理紀錄，以強化機關弱點管控作為。
• 三、資通安全弱點比對之作法：得透過數位發展部資通安全署「資通安全弱點通報系統」（https://vans.nat.gov.tw/）依指定格式提交資訊資產盤點資料，以取得已公開揭露之安全漏洞資訊；或採取其他具有同等或以上效用之作法，至少含括資訊資產盤點管理、與國際權威弱點資料庫查詢或比對是否存在已公開揭露之安全漏洞資訊等內容，並進行後續弱點追蹤管理。