本辦法依資通安全管理法（以下簡稱本法）第七條第三項規定訂定之。

行政院應每三年核定自身資通安全責任等級，送主管機關備查；行政院直 屬機關應每三年提交自身、所屬、所監督之公務機關及所管之特定非公務 機關之資通安全責任等級，報主管機關核定。 直轄市、縣（市）政府應每三年提交自身、所屬、所監督之公務機關，與 所轄鄉（鎮、市）公所、直轄市山地原住民區公所、鄉（鎮、市）民代表 會及直轄市山地原住民區民代表會及其所屬或所監督之公務機關之資通安 全責任等級，報主管機關核定；直轄市及縣（市）議會應每三年提交自身 資通安全責任等級，報主管機關核定。 總統府、國家安全會議、立法院、司法院、考試院及監察院應每三年核定 自身、所屬、所監督之公務機關及所管之特定非公務機關之資通安全責任 等級，送主管機關備查。 各機關因組織或業務調整，致須變更原資通安全責任等級時，應即依前三 項規定程序辦理等級變更；有新設機關時，亦同。 第一項至第三項公務機關辦理資通安全責任等級之提交或核定，就公務機 關或特定非公務機關內之單位，認有另列與該機關不同等級之必要者，得 考量其業務性質，依第四條至第十條規定認定之。

各機關之資通安全責任等級依前六條規定認定之。但第三條第一項至第三 項之公務機關提交或核定資通安全責任等級時，得考量下列事項對國家安 全、社會公共利益、人民生命、身體、財產安全或公務機關聲譽之影響程 度，調整各機關之等級： 一、業務涉及外交、國防、國土安全或關鍵基礎設施者，其中斷或受妨礙 。 二、業務涉及個人資料、公務機密或其他依法規或契約應秘密之資訊者， 其資料、公務機密或其他資訊之數量與性質，及遭受未經授權之存取 、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害。 三、各機關依層級之不同，其功能受影響、失效或中斷。 四、其他與資通系統之提供、維運、規模或性質相關之具體事項。

各機關應依其資通安全責任等級，辦理附表一至附表八之事項。 各機關自行或委外開發之資通系統應依附表九所定資通系統防護需求分級 原則完成資通系統分級，並依附表十所定資通系統防護基準執行控制措施 。特定非公務機關之中央目的事業主管機關就特定類型資通系統之防護基 準認有另為規定之必要者，得自行擬訂防護基準，報請主管機關核定後， 依其規定辦理。 公務機關經其上級機關或監督機關同意者，準用中央目的事業主管機關依 前項所定防護基準相關規定辦理；其他特定非公務機關經其中央目的事業 主管機關同意者，亦同。 各機關辦理附表一至附表八所定事項或執行附表十所定控制措施，因技術 限制、個別資通系統之設計、結構或性質等因素，就特定事項或控制措施 之辦理或執行顯有困難者，得經第三條第一項後段及第二項所定其等級提 交機關或同條第一項前段及第三項所定其等級核定機關同意，並報請主管 機關備查後，免執行該事項或控制措施。等級提交機關有前段情形者，經 主管機關同意後，免予執行；其為等級核定機關者，經報請主管機關備查 後，免予執行。 公務機關應依主管機關指定之方式，提報第一項及第二項事項之辦理情形 。 中央目的事業主管機關得要求其所管特定非公務機關，依其指定之方式提 報第一項及第二項事項之辦理情形。 附表一至附表十之規定，各機關因修正而須於所定期限內辦理新增或異動 項目，辦理期限自修正施行之日起算。