3. 資通安全責任等級
   依照資通安全責任等級分級辦法，由主管機關核定相對應之等級，按照等級決定導入系統之驗證範圍，例如：A級機關初次受核定或等級變更後之二年內，全部核心資通系統導入CNS 27001或ISO 27001 等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準，或其他公務機關自行發展並經主管機關認可之標準，於三年內完成公正第三方驗證，並持續維持其驗證有效性。
4. 資通安全維護計畫
   首先要說明的是，雖然前面依照資通安全責任等級分級辦法的要求，需要驗證核心系統，但並不代表組織可以忽略其他部分，這一點在資通安全維護計畫的範本中可以得到證明。首先資通安全維護計畫的範圍是適用全組織，並非只有核心系統，換言之，整個資訊安全管理制度(資通安全維護計畫所規範的事項)是所有人都應該要遵守的，在計畫中除了核心系統外還有非核心系統，並且需要了解業務失效的影響以及最大可容忍中斷時間。從此處來看，資通安全維護計畫範本是參考條文第四章的精神，請各組織先行針對背景資訊進行分析，才能寫出前面這些資訊。
   綜合以上步驟，有關資安法適用機關的範圍訂定，建議是先從驗證範圍(核心系統)進行導入及驗證，再逐步擴展至全組織；當然如果組織有足夠的支持、人力及資源，一次性將所有單位導入，這也是很好的做法，但是一定要事先妥善評估，免得導入時遇到太大的阻力而無法順利完成。適用機關一定要能明確區分業務及系統，核心業務不一定會有系統來支持，但機關一定有核心業務，而這些業務資訊的機密性、完整性及可用性是資訊安全管理系統需要管理的範圍。並不是一定要有一個資訊系統才能建立資訊安全管理系統，請不要把業務與範圍混淆，造成管理上的疑惑。

(二) 非資通安全管理法適用組織
對於未受到資通安全管理法規範的組織，可能有部分還是會受到資通安全管理法或其他法令的影響，所以我們建議的步驟如下：

1. 確認法規命令：除了資通安全管理法之外，還有其他法令規範要求導入或驗證ISMS，例如教育部對私立大專院校、衛福部對地區等級以上醫院、經濟部對電子發票加值中心、金管會對提供線上投保的保險公司等，都有一定的規範，如果適用，應該依照法令規範訂定範圍。

2. 為何需要ISMS：一般組織需要導入ISMS都有其目的，請先瞭解為何需要ISMS？可能是客戶要求、可能是覺得某項業務的資訊安全非常重要以致會影響組織生存目標。

3. 核心業務：從前面兩項分析中尋找出組織賴以生存的核心業務，在從業務中尋找其依賴的核心系統，這個步驟與前面相同。

4. 決定適用範圍：依照前面的分析，採取下列方式之一(或者可以用混合的方式)，來決定ISMS最佳適用範圍：
   (1) 以部門別定義：提供資訊中心辦公區之資訊安全管理活動
   (2) 以應用系統別定義：供客戶服務系統、行政管理系統之開發、操作與維護之資訊安全管理活動
   (3) 以產品/業務別定義：主機代管機房、網路維運部之資訊安全管理；資安檢測中心之安全維運管理
   (4) 以實體區域定義：電腦機房、研發中心之資訊安全維運管理

5. 範圍邊界及關聯性管控：針對邊界及關連性之風險明確規範管理的方式及要求(例如：委外)。

6. 管理階層核准：高階管理者應針對範圍予以紀錄並正式核准，以確認高階管理者能接受之範圍。