介紹完受資安法管轄的對象定義之後，開始來說明當成為資安法管轄的對象時，會發生以及需要做的事情，這篇將會先以資安法母法開始進行介紹，但僅會針對對組織有影響的條文進行介紹，不會逐條介紹。

資安分級

《資通安全管理法》第七條第一項：
主管機關應衡酌公務機關及特定非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件，訂定資通安全責任等級之分級；其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法，由主管機關定之。

此處提及的資通安全責任等級分級，即為資通安全署發布的《資通安全責任等級分級辦法》，公務機關與特定非公務機關需要依照此分級辦法所定的應辦事項進行辦理，日後將會有專門的文章介紹此辦法。

公務機關資安管理

• 符合所屬的責任等級要求（即應辦事項），並且訂定、修正、實施資安維護計畫。（第十條）
• 必須設置資安長，由機關首長指派副首長或適當負責人兼任。（第十一條）
• 每年向上級或監督機關提出資安維護計畫實施情形，無上級機關則送交行政院。（第十二條）
• 稽核所屬或監督機關的資安維護計畫實施情形，受稽單位如果有被開立缺失或待改善的地方，需要提出改善報告給稽核機關、上級或監督機關。（第十三條）
• 訂定資安事件通報及應變機制。（第十四條第一項）
• 發生資安事件時，需通報上級或監督機關以及主管機關，並且提出調查、處理改善報告。（第十四條第二項、第三項）
• 第十四條第一項至第三項的資安事件通報應變機制，即為《資通安全事件通報及應變辦法》。（第十四條第四項）

特定非公務機關資安管理

關鍵基礎設施提供者

• 符合所屬的責任等級要求（即應辦事項），並且訂定、修正、實施資安維護計畫。（第十六條第二項）
• 向中央目的事業主管機關提出資安維護計畫實施情形（第十六條第三項）
• 應被中央目的事業主管機關稽核資安維護價化實施情形，受稽單位如果有被開立缺失或待改善的地方，需要提出改善報告給中央目的事業主管機關。（第十六條第四項、第五項）
• 前三點的資安維護計畫必要事項、實施情形之提出等其他應遵行事項，即為《特定非公務機關資通安全維護計畫實施情形稽核辦法》以及昨天說的《（部會）所管特定非公務機關資通安全管理作業辦法》。（第十六條第六項）

其他特定非公務機關

與關鍵基礎設施提供者規範大同小異，主要有以下不同：

• 不需主動提出資安維護計畫實施情形，中央目的事業主管機關要求時提供即可。（第十七條第一項）
• 不會固定會被中央目的事業主管稽核，但仍然可以抽查稽核，若有缺失亦需限期提出改善報告。（第十七條第二項）

資安事件通報

• 訂定通報及應變機制。（第十八條第一項）
• 資安事件發生時，需通報中央目的事業主管機關，並提出調查、處理及改善報告，若為重大資安事件，該報告則需加送行政院。（第十八條第二項、第三項）
• 前兩點的資安事件通報應變機制，即為《資通安全事件通報及應變辦法》。（第十八條第四項）
• 重大資安事件發生時，主管機關或中央目的事業主管機關得公告事件相關內容及因應措施，並得提供相關協助。（第十八條第五項）

注意！此處寫的是「得」，所以重大資安事件發生時，主管機關或中央目的事業主管機關還是有不公告事件內容、不公告因應措施、不提供協助的權力。

獎懲

公務機關

• 若公務機關所屬人員（不限制公務人員身份，表示包含公務機關的約聘僱人員）對於機關資安維護績效優良或是不遵守資安法規定，將依《公務機關所屬人員資通安全事項獎懲辦法》獎勵或懲處。（第十五條、第十九條）

特定非公務機關

• 有以下情形，且未於中央目的事業主管機關限期改正，按次處罰 $100,000 以上、$1,000,000 以下罰緩（第二十條）：

1. 未訂定、修正、實施資安維護計畫。
2. 違反《（部會）所管特定非公務機關資通安全管理作業辦法》。
3. 未提出資安維護計畫實施情形。
4. 稽核發現缺失或待改善事項，未提出改善報告。
5. 未訂定資安事件通報應變機制。
6. 違反《資通安全事件通報及應變辦法》。
7. 資安事件發生後，未提出調查、處理及改善報告。

• 未通報資安事件，處 $300,000 以上、$5,000,000 以下罰緩，並限期改正；未改正則按次處罰。（第 21 條）