各機關有下列情形之一者，其資通安全責任等級為 A 級： 一、業務涉及國家機密。 二、業務涉及外交、國防或國土安全事項。 三、業務涉及全國性民眾服務或跨公務機關共用性資通系統之維運。 四、業務涉及全國性民眾或公務員個人資料檔案之持有。 五、屬公務機關，且業務涉及全國性之關鍵基礎設施事項。 六、屬關鍵基礎設施提供者，且業務經中央目的事業主管機關考量其提供 或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性， 認其資通系統失效或受影響，對社會公共利益、民心士氣或民眾生命 、身體、財產安全將產生災難性或非常嚴重之影響。 七、屬公立醫學中心。

各機關有下列情形之一者，其資通安全責任等級為 B 級： 一、業務涉及公務機關捐助、資助或研發之敏感科學技術資訊之安全維護 及管理。 二、業務涉及區域性、地區性民眾服務或跨公務機關共用性資通系統之維 運。 三、業務涉及區域性或地區性民眾個人資料檔案之持有。 四、業務涉及中央二級機關及所屬各級機關（構）共用性資通系統之維運 。 五、屬公務機關，且業務涉及區域性或地區性之關鍵基礎設施事項。 六、屬關鍵基礎設施提供者，且業務經中央目的事業主管機關考量其提供 或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性， 認其資通系統失效或受影響，對社會公共利益、民心士氣或民眾生命 、身體、財產安全將產生嚴重影響。 七、屬公立區域醫院或地區醫院。

各機關有下列情形之一者，其資通安全責任等級為 E 級： 一、無資通系統且未提供資通服務。 二、屬公務機關，且其全部資通業務由其上級機關、監督機關或上開機關 指定之公務機關兼辦或代管。 三、屬特定非公務機關，且其全部資通業務由其中央目的事業主管機關、 中央目的事業主管機關所屬公務機關、中央目的事業主管機關所管特 定非公務機關或出資之公務機關兼辦或代管。

各機關應依其資通安全責任等級，辦理附表一至附表八之事項。 各機關自行或委外開發之資通系統應依附表九所定資通系統防護需求分級 原則完成資通系統分級，並依附表十所定資通系統防護基準執行控制措施 ；特定非公務機關之中央目的事業主管機關就特定類型資通系統之防護基 準認有另為規定之必要者，得自行擬訂防護基準，報請主管機關核定後， 依其規定辦理。 各機關辦理附表一至附表八所定事項或執行附表十所定控制措施，因技術 限制、個別資通系統之設計、結構或性質等因素，就特定事項或控制措施 之辦理或執行顯有困難者，得經第三條第二項至第四項所定其等級提交機 關或同條第五項所定其等級核定機關同意，並報請主管機關備查後，免執 行該事項或控制措施；其為主管機關者，經其同意後，免予執行。 公務機關之資通安全責任等級為 A 級或 B 級者，應依主管機關指定之 方式，提報第一項及第二項事項之辦理情形。 中央目的事業主管機關得要求所管特定非公務機關，依其指定之方式提報 第一項及第二項事項之辦理情形。

本辦法之施行日期，由主管機關定之。 本辦法修正條文自發布日施行。