公務機關不得下載、安裝或使用危害國家資通安全產品；其自行或委外營 運場所提供公眾視聽或使用之傳播設備及網際網路接取服務，於維護資通 安全之必要時，亦同。但因業務需求且無其他替代方案者，經該機關資通 安全長及依第十四條規定收受其實施情形之機關資通安全長核可，函報主 管機關核定後，得以專案方式使用，並列冊管理。 公務機關發配供業務使用之資通訊設備，不得下載、安裝或使用危害國家 資通安全產品，並應遵守相關法令規範。但因業務需求且無其他替代方案 者，準用前項但書規定辦理。 前二項有關危害國家資通安全產品之審查程序、風險評估、情資分享、使 用限制及其他相關事項之辦法，由主管機關會商有關機關擬訂，報請行政 院核定之。

公務機關應置資通安全長，由機關首長指派副首長或適當人員兼任，負責 推動及監督機關內資通安全相關事務。

公務機關應符合其所屬資通安全責任等級之要求，並考量其所保有或處理 之資訊種類、數量、性質、資通系統之規模與性質等條件，訂定、修正及 實施資通安全維護計畫。

公務機關應每年向上級機關或監督機關提出資通安全維護計畫實施情形； 無上級機關或監督機關者，其資通安全維護計畫實施情形應依下列各款規 定辦理： 一、總統府、國家安全會議及五院，向主管機關提出。 二、直轄市政府、直轄市議會、縣（市）政府及縣（市）議會，向主管機 關提出。 三、直轄市山地原住民區公所、直轄市山地原住民區民代表會，向直轄市 政府提出；鄉（鎮、市）公所、鄉（鎮、市）民代表會，向縣政府提 出。

公務機關應稽核其所屬、所監督之公務機關、所轄鄉（鎮、市）公所、直 轄市山地原住民區公所及鄉（鎮、市）民代表會、直轄市山地原住民區民 代表會之資通安全維護計畫實施情形。

受稽核機關之資通安全維護計畫實施情形有缺失或待改善者，應向稽核機 關提出改善報告，並由稽核機關連同稽核結果依指定之方式送交主管機關 。 稽核機關或主管機關認有必要時，得要求受稽核機關進行說明或調整。 前三條及第一項資通安全維護計畫必要事項、實施情形之提出、稽核之頻 率、內容與方法、結果之交付、改善報告之提出及其他相關事項之辦法， 由主管機關定之。

公務機關為因應資通安全事件，應訂定通報及應變機制。 公務機關知悉資通安全事件時，應向第十四條規定收受其實施情形之機關 及主管機關通報。 公務機關應向前項受通報機關提出資通安全事件調查、處理及改善報告。 前三項通報與應變機制之必要事項、通報內容、報告之提出、演練作業及 其他相關事項之辦法，由主管機關定之。 第二項受通報機關知悉重大資通安全事件時，得提供公務機關相關協助； 於適當時機並得公告與事件相關之必要內容及因應措施。

公務機關應符合其資通安全責任等級之要求，設置資通安全專職人員，辦 理資通安全業務及應變處理；所屬人員辦理資通安全業務績效優良者，應 予獎勵。 主管機關應妥善規劃推動專職人員之職能訓練，增進其資通安全專業知能 ；遇有重大資通安全事件，主管機關得調度各級機關資通安全人員支援之 。 前二項人員獎勵、職能訓練、調度支援、績效評核及其他相關事項之辦法 ，由主管機關定之。

公務機關於必要時，得對所屬資通安全專職人員之適任性進行查核。 主管機關得於資通安全人員任用考試榜示後，對錄取人員之適任性進行查 核。 拒絕查核或前二項查核結果經用人機關認定未通過者，不得辦理涉及國家 機密、軍事機密及國防秘密之資通安全業務。 前項人員職務得由用人機關基於內部管理及業務運作需要，依法進行調整 。 第一項及第二項查核紀錄，由用人機關依相關規定保密處理，並妥為保管 ，不得移作他用；違反者，視情節予以議處。 有關查核權責機關、應受查核人員、查核程序、內容及其他相關事項之辦 法，由主管機關會商有關機關定之。