公務機關或特定非公務機關，於本法適用範圍內，委外辦理資通系統之建 置、維運或資通服務之提供，應選任適當之受託者，要求受託者建立有效 之資通安全管理機制，並監督該機制之實施。 前項受託者辦理受託業務之相關程序及環境，應具備完善之資通安全管理 措施或通過公正第三方驗證。 公務機關或特定非公務機關辦理第一項委外業務，應與受託者簽訂書面契 約，載明雙方之權利義務及違約責任。 公務機關及特定非公務機關，應配合主管機關之規劃辦理資通安全演練作 業，並視需要導入第三方協力機制；演練內容及其他相關事項，由主管機 關定之。

公務機關為因應資通安全事件，應訂定通報及應變機制。 公務機關知悉資通安全事件時，應向第十四條規定收受其實施情形之機關 及主管機關通報。 公務機關應向前項受通報機關提出資通安全事件調查、處理及改善報告。 前三項通報與應變機制之必要事項、通報內容、報告之提出、演練作業及 其他相關事項之辦法，由主管機關定之。 第二項受通報機關知悉重大資通安全事件時，得提供公務機關相關協助； 於適當時機並得公告與事件相關之必要內容及因應措施。

特定非公務機關為因應資通安全事件，應訂定通報及應變機制。 特定非公務機關於知悉資通安全事件時，應向中央目的事業主管機關通報 。 特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理 及改善報告；如為重大資通安全事件者，並應送交主管機關。 前三項通報與應變機制之必要事項、通報內容、報告之提出、送交、演練 作業及其他應遵行事項之辦法，由主管機關定之。 中央目的事業主管機關或主管機關知悉重大資通安全事件時，應提供必要 之協助；於適當時機並得公告與事件相關之必要內容及因應措施。