一、依據
    本手冊依電信事業資訊安全管理作業要點第二點規定訂定之。

二、目的
    基於保障通信安全及維護使用者權益原則，確保電信事業資料、系統
    、設備及網路安全，本手冊包含下列事項：
（一）資訊安全管理標準。
（二）資訊安全等級評估。
（三）資訊安全管理機制。
（四）資訊安全教育訓練。
（五）資訊安全應變通報。
（六）資訊安全實施評鑑。

三、資訊安全管理標準
    電信事業實施資訊安全管理，建議參照下列國際標準或經濟部標準檢
    驗局所訂 CNS 27000  系列之相對標準：
（一）資訊安全管理系統- 要求事項：ISO27
（二）資訊安全管理之作業規範：ISO27002 。
（三）資訊安全管理風險管理：ISO27005 。
（四）電信產業資訊安全管理指引：ISO27011 。

四、資訊安全等級評估
    為釐清保護資訊安全標的，確定各項資訊安全需求水準，以作為後續
    選擇適當之資訊安全控制措施，各電信事業宜執行下列步驟：
（一）每年重新檢視、評估資訊安全管理之資訊安全等級。
（二）填寫「電信事業資訊安全等級自我評估彙整表」（附件一）及「電
      信事業資訊安全等級自我評估說明表」（附件二）。
      評估資訊安全等級步驟如下：
（一）視需要建立多個作業編號。
（二）每個作業編號依部門別、系統別、業務別或實體區域別等四種定義
      別，單選一個定義別或複選多個定義別，以選定作業範圍。
（三）針對每個定義別依資料保護受到損害及影響業務運作之影響構面，
      分別評估影響構面之影響等級屬 A  級或 B  級。
（四）每個作業編號中，如有任一影響構面之影響等級為 A  級者，則該
      作業編號之資訊安全等級應評估為 A  級。如全部影響構面之影響
      等級均為 B  級者，則該作業編號之資訊安全等級應評估為 B  級
      。

五、資訊安全管理機制建立
    各電信事業建立內部資訊安全管理機制，所需執行作業項目，包括防
    護縱深、資訊安全管理系統（Information Security Management S-
    ystem，ISMS） 推動作業及稽核作業，其與資訊安全等級對應關係，
    請參照「資訊安全等級應執行之工作事項表」（附件三）：
（一）防護縱深：
      1.作業編號之資訊安全等級屬 A  級者：
        防護縱深至少包括入侵防護系統（Intrusion Prevention Syst-
        em，IPS ）、入侵偵測系統（Intrusion Detection System，ID
        ）、防火牆、防毒。
      2.作業編號之資訊安全等級屬 B  級者：
        防護縱深至少包括入侵偵測系統、防火牆、防毒。
（二）ISMS  推動作業及稽核作業
      電信事業依其資訊安全等級，推動適當之 ISMS ，並就下列事項，
      訂定資訊安全管理實施計畫，定期進行內部稽核：
      1.資訊安全政策訂定。
      2.資訊安全權責分工。
      3.人員管理及資訊安全教育訓練。
      4.電腦系統安全管理。
      5.網路安全管理。
      6.系統存取控制管理。
      7.系統發展及維護安全管理。
      8.資訊資產分類及控管。
      9.實體及環境安全管理。
     10.業務永續運作計畫管理。
     11.其他事項。

六、資訊安全教育訓練
    為建立電信事業員工資訊安全認知，並提升電信事業資訊安全水準，
    電信事業宜推動事業內部資訊安全教育訓練。資訊安全教育訓練作業
    項目請參照「資訊安全等級應執行之工作事項表」（附件三） 之資
    安教育訓練作業項目。
    資訊安全教育訓練及宣導之時數說明如下：
（一）作業編號之資訊安全等級屬 A  級者，依資訊人員、業務人員、一
      般人員，每年至少分別 12、6、3 小時之資訊安全教育訓練。
（二）作業編號之資訊安全等級屬 B  級者，依資訊人員、業務人員、一
      般人員，每年至少分別 8、3、2  小時之資訊安全教育訓練。

七、資訊安全應變通報
    電信事業應建立資通安全事件應變作業機制，當發生資通安全事件時
    ，應立即填具「國家通訊傳播委員會資通安全事件通報單」（附件四
    ）向本會通報，並採取應變措施。

八、資訊安全實施評鑑- 內部稽核
    電信事業依其資訊安全等級，每年至少執行一次下列內部稽核或自我
    檢視：
（一）作業編號之資訊安全等級屬 A  級者：
      應依資訊安全管理內部稽核表（附件五）進行內部稽核。
（二）作業編號之資訊安全等級屬 B  級者：
      應依資訊安全管理自我檢視表（附件六）進行自我檢視。
      電信事業於執行內部稽核或自我檢視時，如有不符合事項，須另填
      具「資訊安全管理矯正／預防措施一覽表」（附件七）及「資訊安
      全管理矯正／預防措施單」（附件八）。

九、資訊安全實施評鑑- 行政檢查
    電信事業如發生「國家通訊傳播委員會資通安全事件通報單」之資通
    安全事件影響等級為 4  級或 3  級者，電信事業須於 1  週內備妥
    下列相關資料，以供本會進行行政檢查用。
（一）重大資安事件應變措施之處理說明。
（二）資通安全管理實施計畫。
（三）內部稽核表或自我檢視表之各檢查項目佐證資料。
（四）資通安全管理矯正/ 預防措施一覽表及資訊安全管理矯正／預防措
      施單。

十、資訊安全實施評鑑- 外部稽核
    電信事業之資訊安全管理系統得向資訊安全管理系統驗證機構申請驗
    證，經驗證合格者，本會將於網站上公佈之。
    前項驗證機構須經公正第三方認證機構認證。

十一、每年 9  月底前，本會通知各電信事業提供下列資料提報本會：
  （一）資訊安全等級評估資料：
        1.「電信事業資訊安全等級自我評估彙整表」（附件一）。
        2.「電信事業資訊安全等級自我評估說明表」（附件二）。
  （二）資訊安全內部稽核表或自我檢視表：
        1.作業編號之資訊安全等級屬 A  級者，應提報資訊安全管理內部
          稽核表（附件五）。
        2.作業編號之資訊安全等級屬 B  級者，應提報資訊安全管理自我
          檢視表（附件六）。
  （三）資訊安全管理矯正/預防措施資料：
        依第八點執行內部稽核或自我檢視時，如有不符合事項，須另提報
        「資訊安全管理矯正／預防措施一覽表」（附件七）及「資訊安全
        管理矯正／預防措施單」（附件八）。
        電信事業已實施資訊安全管理系統，如其作業範圍業取得 ISO 270
        01  認證者，得免檢附附件五至附件八，惟須檢附該認證證書及相
        關資料。