各機關有下列情形之一者，其資通安全責任等級為 B 級： 一、業務涉及公務機關捐助、資助或研發之國家核心科技資訊之安全維護 及管理。 二、業務涉及區域性、地區性民眾服務或跨公務機關共用性資通系統之維 運。 三、業務涉及區域性或地區性民眾個人資料檔案之持有。 四、業務涉及中央二級機關及所屬各級機關（構）共用性資通系統之維運 。 五、屬公務機關，且業務涉及區域性或地區性之關鍵基礎設施事項。 六、屬關鍵基礎設施提供者，且業務經中央目的事業主管機關考量其提供 或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性， 認其資通系統失效或受影響，對社會公共利益、民心士氣或民眾生命 、身體、財產安全將產生嚴重影響。 七、屬公立區域醫院或地區醫院。

各機關維運自行或委外設置、開發之資通系統者，其資通安全責任等級為 C 級。 前項所定自行或委外設置之資通系統，指具權限區分及管理功能之資通系 統。

各機關自行辦理資通業務，未維運自行或委外設置、開發之資通系統者， 其資通安全責任等級為 D 級。

各機關應依其資通安全責任等級，辦理附表一至附表八之事項。 各機關自行或委外開發之資通系統應依附表九所定資通系統防護需求分級 原則完成資通系統分級，並依附表十所定資通系統防護基準執行控制措施 ；特定非公務機關之中央目的事業主管機關就特定類型資通系統之防護基 準認有另為規定之必要者，得自行擬訂防護基準，報請主管機關核定後， 依其規定辦理。 各機關辦理附表一至附表八所定事項或執行附表十所定控制措施，因技術 限制、個別資通系統之設計、結構或性質等因素，就特定事項或控制措施 之辦理或執行顯有困難者，得經第三條第二項至第四項所定其等級提交機 關或同條第五項所定其等級核定機關同意，並報請主管機關備查後，免執 行該事項或控制措施；其為主管機關者，經其同意後，免予執行。 公務機關之資通安全責任等級為 A 級或 B 級者，應依主管機關指定之 方式，提報第一項及第二項事項之辦理情形。 中央目的事業主管機關得要求所管特定非公務機關，依其指定之方式提報 第一項及第二項事項之辦理情形。