五、資訊安全管理機制建立
    各電信事業建立內部資訊安全管理機制，所需執行作業項目，包括防
    護縱深、資訊安全管理系統（Information Security Management S-
    ystem，ISMS） 推動作業及稽核作業，其與資訊安全等級對應關係，
    請參照「資訊安全等級應執行之工作事項表」（附件三）：
（一）防護縱深：
      1.作業編號之資訊安全等級屬 A  級者：
        防護縱深至少包括入侵防護系統（Intrusion Prevention Syst-
        em，IPS ）、入侵偵測系統（Intrusion Detection System，ID
        ）、防火牆、防毒。
      2.作業編號之資訊安全等級屬 B  級者：
        防護縱深至少包括入侵偵測系統、防火牆、防毒。
（二）ISMS  推動作業及稽核作業
      電信事業依其資訊安全等級，推動適當之 ISMS ，並就下列事項，
      訂定資訊安全管理實施計畫，定期進行內部稽核：
      1.資訊安全政策訂定。
      2.資訊安全權責分工。
      3.人員管理及資訊安全教育訓練。
      4.電腦系統安全管理。
      5.網路安全管理。
      6.系統存取控制管理。
      7.系統發展及維護安全管理。
      8.資訊資產分類及控管。
      9.實體及環境安全管理。
     10.業務永續運作計畫管理。
     11.其他事項。