今天來介紹 C、D、E 級機關的應辦事項，由於 C 到 E 級的的應辦事項較少，因此寫在同一篇文章內，而我都只會列出與前一個較高等級不同的地方，以及免辦的事項，如未寫出來，即為與前一即級為相同的應辦事項。

C 級

管理面

資通系統分級及防護基準

在第一次受核定（或變更）資安責任等級一年內，針對自行或委外開發系統，依《資通系統防護需求分級原則》完成資通系統分級，之後每年亦需要至少檢視一次系統分級是否適當，且於兩年內完成《資通系統防護基準》中的控制措施。

ISMS 導入

在第一次受核定（或變更）資安責任等級兩年內，所有核心系統導入 CNS 27001、ISO 27001、其他同等或以上效果、公務機關自行發展並經主管機關認可其中之一的 ISMS，並持續維持導入，但不需通過第三方驗證機構驗證。

資安專責人員

在第一次受核定（或變更）資安責任等級兩年內，配置一名資安專責人員，公務機關要求為「專職」人員。

內稽

每兩年辦理一次內稽。

營運持續

所有核心系統，需每兩年辦理一次營運持續演練。

資安成熟度

免辦。

技術面

資安威脅偵測管理機制

免辦。

GCB

免辦。

資安弱點通報機制

公務機關與 CI 提供者，需在第一次受核定（或等級變更）兩年內，完成弱點通報機制導入，並持續維運、依主管機關指定方式提交資訊資產盤點資料。

資安防護

在第一次受核定（或等級變更）一年內，啟用防毒軟體、網路防火牆、Email 過濾機制（若有 Email Server），並持續使用及適當更新。

認知與訓練

資安證照

於第一次受核定（或等級變更）一年內，至少有一位資安專職（責）人員持有一張以上的證照或證書，且需持續維護有效性。

D 級

除以下提及以外，皆不需辦理：

技術面

資安防護

在第一次受核定（或等級變更）一年內，啟用防毒軟體、網路防火牆，並持續使用及適當更新。

認知與訓練

資安教育訓練

每人每年接受三小時以上資安通識教育訓練。

E 級

僅需辦理 D 級的「資安教育訓練」事項，其餘都不需辦理。