今天開始來介紹資安責任分級辦法中的附件—應辦事項，首先來介紹 A 級公務機關與特定非公務機關的應辦事項，若沒有特別提及，則為公務機關與特定非公務機關為相同規定：

管理面

資通系統分級及防護基準

在第一次受核定（或變更）資安責任等級一年內，針對自行或委外開發系統，依《資通系統防護需求分級原則》完成資通系統分級，並完成《資通系統防護基準》中的控制措施，
之後每年亦需要至少檢視一次系統分級是否適當。

導入 ISMS

在第一次受核定（或變更）資安責任等級兩年內，全部核心資通系統皆需要導入 CNS 27001 或 ISO 27001 資安管理系統標準，在三年內通過第三方驗證（例如 SGS、BSI、TUV Nord、TCIC 等經過 TAF 認證的驗證機構），並且持續維護驗證有效性（亦即每三年都需要重新驗證）。
雖然條文寫「其他具有同等或以上效果之系統或標準，或其他公務機關自行發展並經主管機關認可之標準。」，但目前機關都還是以 ISO 27001 進行導入，除了制度成熟、方便導入外，亦有國際公信力。

專責人員

在第一次受核定（或變更）資安責任等級一年內，皆須配置四名資安專責人員，但有特別要求公務機關需配置「專職」人員，特定非公務機關則無要求為「專職」。

內稽

每年皆需要辦理兩次內稽。

營運持續

所有核心系統每年皆需要辦理一次營運持續演練。

資安治理成熟度

公務機關每年需進行資安治理成熟度評估。

技術面

安全性檢測

所有核心系統每年需辦理兩次弱點掃描、一次滲透測試。

資安健診

每年辦理一次網路架構檢視、網路惡意活動檢視、Endpoint 惡意活動檢視、Server 惡意活動檢視、目錄 Server 設定與防火強連線設定檢視。

資安威脅偵測管理機制

第一次受核定（或等級變更）一年內，完成威脅偵測機制建置，並持續維運：

公務機關

• 依主管機關指定之方式提交監控管理資料。
• 監控範圍需包括本表的「端點偵測及應變機制」、「資通安全防護」辦理內容、目錄服務系統與機關核心資通系統之資通設備紀錄、資訊服務或應用程式紀錄。

特定非公務機關

• 監控範圍需包括本表的「資通安全防護」辦理內容、目錄服務系統與機關核心資通系統之資通設備紀錄、資訊服務或應用程式紀錄

政府組態基準

簡稱為 GCB，公務機關需於第一次受核定（或等級變更）一年內，依主管機關公告項目，完成 GCB 導入，並持續維運。

資安弱點通報機制

公務機關與關鍵基礎設施提供者，於第一次受核定（或等級變更）一年內，完成資安弱點通報機制導入，並持續維運、依主管機關指定方式提交資訊資產盤點資料。

端點偵測及應變機制

公務機關需於於第一次受核定（或等級變更）兩年內，等入 EDR，並持續維運及依主管機關指定方式提交偵測資料。

資通安全防護

於第一次受核定（或等級變更）一年內，完成啟用防毒軟體、網路防火牆、IDS、IPS、對外服務核心系統 WAF、APT 防禦措施，並持續使用、軟硬體升級。

認知與訓練

資安教育訓練

• 資安專職（責）人員：每人每年 12 小時以上資安專業課程或資安職能訓練。
• 其他資訊人員：每人每 2 年 3 小時以上資安專業課程或資安職能訓練、每年 3 小時資安通識教育訓練。
• 一般使用者及主管：每人每年 3 小時資安通識教育訓練。

證照

於第一次受核定（或等級變更）一年內，至少有四位資安專職（責）人員，各自持有一張以上的證照或證書，且需持續維護有效性。
因為許多國際證照都需要在一段期間內，提足夠的工作經歷與參加教育訓練證明，才能讓證照持續有效，也就是不能考到證照之後就不管XD

資安證照認可清單可參考資安署公告的《資安專業證照清單》，其中需要注意的是，ISO 27001、27701、22301 主導稽核員證書，需要在當年度有至少 2 次參與該標準的稽核經驗證明才會被認定有效；而稽核經驗次數計算，為以稽核員或觀察員身份，參與內外稽、針對委外廠商稽核的次數來進行計算。