接下來繼續介紹資安法下的其中一個子法，全名為《資通安全管理法施行細則》，資安法施行細是由資安法第二十二條授權給主管機關（行政院）訂定的，在法律位階上屬於行政命令的層級，不需要像資安法一樣在立法院三讀通過，因此可以由主管機關自行訂定、修正。

受稽機關缺失改善報告

受稽機關被發現資安維護計畫實施有缺失時，提出的改善報告需要包含下列內容，並依照主管機關、上級或監督機關、中央目的事業主管機關指定的方式與時間，提出改善措施的執行情況：

• 缺失或待改善項目及內容。
• 發生原因
• 改善措施
• 改善措施預定完成時程與追蹤方式

（第三條，對應母法第七條第三項、第十三條第二項、第十六條第五項、第十七條第三項）

委外廠商選擇與監督

• 委外廠商需具備完善資安管理措施，或通過第三方驗證。（第四條第一項第一款）

施行細則只要求要有 ISMS，但實務上大多還是會以有無取得 ISO 27001 驗證來判定，畢竟「完善」不是承辦人說了算。

• 委外廠商需有適當資格訓練、資安證照或具有類似業務經驗的資安人員。（第四條第一項第二款）

同樣的，適當資格訓練較難被明確定義，因此大多以持有資安署公告的資安證照清單中的證照，或是工作經驗來判定。

• 需明確規定，委外廠商是否能轉包、轉包的範圍與對象、下包廠商的資安維護措施。（第四條第一項第三款）
• 委外業務若涉及國家機密，委外廠商執行此專案的員工需接受適任性查核，並依《國家機密保護法》規定，管制出境。（第四條第一項第四款）
• 委外開發客製化系統時，委外廠商需提供系統資安檢測證明；若該系統為委託機關核心系統，或委外金額（即得標金額）超過 $10,000,000 時，委託機關需要自行或委託第三方進行資安檢測；系統中含有非委外廠商自行開發的系統資源時，應標示非委外廠商開發的內容及授權證明。（第四條第一項第五款）

此處的「資安檢測」通常包含：弱點掃描、滲透測試、源碼檢測，因為很少甲方有自行檢測的能力，因此大多還是會委託第三方檢測。
若委外廠商有使用外部 library、套件等等，都需要明確標示，並提供授權證明（例如開源套件的授權條款等等）

• 委外廠商若違反資安相關法令、發現資安事件時，需通報委託機關並採取補救措施。（第四條第一項第六款）
• 委託關係結束時，應確認委外廠商歸還、移交、刪除因為委外專案而取得的資料。（第四條第一項第七款）
• 委託機關需定期、或在委外廠商發生可能影響委外專案的資安事件時，針對委外廠商進行稽核或其他方式確認委外專案的執行情況。（第四條第一項第九款）

適任性查核

根據第四條第二項，若委外業務涉及國家機密，則需針對委外廠商的專案執行或相關人員進行適任性查核，於必要範圍內查核下列事項：

• 是否曾犯洩密罪，或於動員戡亂時期終止後，犯內亂罪、外患罪，經判刑確定。
• 是否遭到通緝。
• 若曾任公務員，是否曾因違反安全保密規定遭到懲戒或記過以上懲處。
• 曾受到外國政府、大陸、港澳政府利誘、威脅，從事不利國安或重大利益的情勢。
• 其他與國家機密保護相關具體項目。

如果該委外專案需要對委外廠商相關人員執行適任性查核時，需記載在招標公告、文件、契約，並經過當事人書面同意。（第四條第三項）

電子文件

針對中央目的事業主管機關通知受核定的關鍵基礎設施提供者、或取得委外廠商人員適任性查核同意的相關書面資料，可以依照《電子簽章法》規定，採用電子文件。（第五條）

資安維護計畫

• 資安維護計畫應該包含下列事項（第六條第一項）：

1. 核心業務與重要性。
2. 資安政策與目標。
3. 資安推動組織。
4. 資安專責人力與經費配置。
5. 公務機關資安長配置。
6. 資通系統與資訊盤點，標示核心系統與相關資產。
7. 資安風險評估。
8. 資安防護與控制措施。
9. 資安事件通報、應變、演練機制。
10. 資安情資評估及因應機制。
11. 委外系統或服務管理措施。
12. 公務機關所屬人員辦理業務時，涉及資安事項的考核機制。
13. 資安維護計畫、實施情形的持續改善及績效管理機制。

• 提出資安維護計畫的實施情形時，需要包含資安維護計畫內所有事項的執行成果及說明。（第六條第二項）
• 資安維護計畫的訂定、修正、實施、執行狀況，公務機關可以交由上級、監督機關（或所屬機構）負責；特定非公務機關則可以交由中央目的事業主管機關（或所屬公務機關、特定非公務機關）負責。

會有此條規定的原因是，希望可以將資安維護計畫的層級提高到大機關，小機關就不需要配置太多資源在負責資安維護上，減輕小機關的負擔，也能讓資安維護計畫統一，而不會各做各的。

核心業務

• 核心業務定義即為該單位的主要權責、服務、功能，或是維運、提供關鍵基礎設施的必要業務，以及業務涉及國家機密、外交、國防、國土安全、全國民眾服務、跨公務機關共用資通系統維運、全民或公務員個資持有、公務機關涉及全國性關鍵基礎設施。（第七條第一項）

《資安責任等級分級辦法》第四條：
各機關有下列情形之一者，其資通安全責任等級為 A 級：
一、業務涉及國家機密。
二、業務涉及外交、國防或國土安全事項。
三、業務涉及全國性民眾服務或跨公務機關共用性資通系統之維運。
四、業務涉及全國性民眾或公務員個人資料檔案之持有。
五、屬公務機關，且業務涉及全國性之關鍵基礎設施事項。
六、屬關鍵基礎設施提供者，且業務經中央目的事業主管機關考量其提供或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性，認其資通系統失效或受影響，對社會公共利益、民心士氣或民眾生命、身體、財產安全將產生災難性或非常嚴重之影響。
七、屬公立醫學中心。

• 第六條第一項第六款所指的核心系統，指支持核心業務持續運作的必要系統，或依《資通安全責任等級分級辦法》「附表九、資通系統防護需求分級原則」規定，防護需求為高者。（第七條第二項）
  

資安事件

• 資安事件調查、處理、改善報告需要包含下列事項（第八條）：

1. 事件發生或發現、完成損害控制或復原作業時間。
2. 事件影響範圍、損害評估。
3. 損害控制、復原歷程。
4. 事件調查、處理歷程。
5. 事件原因分析。
6. 防止再發的改善措施。
7. 改善措施預定完成時間及追蹤機制。

重大資安事件

• 重大資安事件定義，以《資通安全事件通報及應變辦法》第二條第四項、第五項規定的三級、四級資安事件。

《資通安全事件通報及應變辦法》第二條第四項：
各機關發生資通安全事件，有下列情形之一者，為第三級資通安全事件：
一、未涉及關鍵基礎設施維運之核心業務資訊遭嚴重洩漏，或一般公務機密、敏感資訊或涉及關鍵基礎設施維運之核心業務資訊遭輕微洩漏。
二、未涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭嚴重竄改，或一般公務機密、敏感資訊、涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭輕微竄改。
三、未涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓，無法於可容忍中斷時間內回復正常運作，或涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓，於可容忍中斷時間內回復正常運作。

第二條第五項：
各機關發生資通安全事件，有下列情形之一者，為第四級資通安全事件：
一、一般公務機密、敏感資訊或涉及關鍵基礎設施維運之核心業務資訊遭嚴重洩漏，或國家機密遭洩漏。
二、一般公務機密、敏感資訊、涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭嚴重竄改，或國家機密遭竄改。
三、涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓，無法於可容忍中斷時間內回復正常運作。

• 主管機關或中央目的事業主管機關知道重大資安事件，並依母法第十八條第五項規定公告與事件必要內容及因應措施時，需要載明事件發生或發現時間、原因、影響程度、控制情形及後續改善措施。（第十一條第一項）

• 若有以下情形，將不會進行公告（第十一條第二項）：

1. 涉及個人、法人或團體營業上秘密或經營事業有關資訊。
2. 公開有侵害公務機關、個人、法人或團體之權利或其他正當利益。
3. 其他依法規需秘密、限制、禁止公開。
4. 若法規另有規定、對公益有必要、為保護人民生命、身體、健康有必要、經當事人同意，不在此限。

• 若與事件相關必要內容及因應措施，含有規定不公告的情形，其他部分可以進行公告。（第十一條第三項）

涉及多機關時

• 若特定非公務機關業務涉及多個中央目的事業主管機關時，行政院得協調一個以上中央目的事業主管機關，單獨或共同負責母法規定的中央目的事業主管機關應辦事項。（第十二條）