一、目的
    經濟部（以下簡稱本部）為強化計畫網站之資通安全管理，建立安全
    與可信賴之資訊系統，提升計畫網站之資料及系統安全，特訂定本要
    點。


二、範圍
（一）本要點適用對象為本部幕僚單位、所屬行政機關及事業機構之計畫
      網站。
（二）本要點所稱計畫網站，指各單位因應業務或委辦計畫需求所建置或
      維護，且未納入機關（構）統籌資通安全防護之網站。


三、計畫網站資通安全管理要求
（一）資訊業務承辦單位（以下簡稱資訊單位）應依行政院相關規定與本
      要點要求，規劃及擬定符合機關（構）需要之計畫網站資通安全管
      理計畫，陳報資訊安全長核定，並督導計畫網站資通安全管理作業
      之實施。
（二）計畫網站資通安全管理計畫應涵蓋以下作業要項：
      1.計畫網站之系統分級與評估準則、方法及步驟。
      2.計畫網站資通安全管理責任。
      3.計畫網站建置及維運廠商之責任。
      4.計畫網站之軟體安全需求。
      5.計畫網站實體與系統環境資通安全保護措施。
      6.計畫網站管理方法及程序。
      7.計畫網站資通安全稽核頻率、方法及準則。


四、計畫網站資通安全管理施行
（一）建置或維護計畫網站之承辦業務單位（以下簡稱業務單位）應負責
      計畫網站資通安全管理工作事項。
（二）業務單位應定期（至少一年一次）執行計畫網站盤點與分級評估，
      製作計畫網站盤點及分級評估報告。
（三）業務單位應依計畫網站盤點及分級評估結果，採行必要之控制措施
      ，以確保網站之安全防護水準。
（四）業務單位應於委託時，提出計畫網站資通安全管理需求，課以受委
      託廠商資通安全責任。廠商責任涵蓋廠商參與計畫網站開發或維護
      相關作業之員工、雇員、分包商及臨時人員。
（五）計畫網站至少應包括跨網站腳本攻擊（XSS） 及資料庫注入式攻擊
      （SQL-injection） 等，開放網路軟體安全計畫（OWASP） 所列十
      大常見網站攻擊模式之測試及防護措施。
（六）業務單位應確保計畫網站上線前執行網站弱點掃描，並完成弱點修
      補。運行中之計畫網站，應依政府機關（構）資通安全責任等級分
      級作業規定，定期執行網站弱點掃描，並完成弱點修補。
（七）計畫網站應設置於具有保護措施之環境，保護措施應至少包括防火
      牆及防毒機制。
（八）計畫網站應建置於機關（構）專用之主機和資料庫，不得與他機關
      或機構共用。
（九）計畫網站之建置，應以政府共同供應契約提供之雲端服務為原則。
（十）計畫網站系統主機應設定防毒機制，並適時修補系統安全弱點。
（十一）計畫網站之正式運行環境，不得同時作為測試及開發環境使用。
（十二）計畫網站運行期間，業務單位應保存網站建置、維護及更新紀錄
        。
（十三）存放機敏性資料之計畫網站應啟用系統存取稽核軌跡記錄功能，
        且設有存取監控、系統可用性監控及異常警示通報機制。


五、計畫網站資通安全管理評估
（一）業務單位應定期（至少半年一次）與受委託廠商召開計畫網站建置
      、維護或更新作業之資通安全管理會議，並就會議結論採取適切之
      改善措施。
（二）業務單位應依據計畫網站盤點及分級評估結果，執行計畫網站稽核
      ，每年稽核數量，不得低於計畫網站盤點總數百分之三十，機關（
      構）每三年應對所屬所有計畫網站完成稽核作業。
（三）存放機敏性資料之計畫網站，應每年對計畫網站資通安全管理作業
      實施至少一次資通安全稽核，且宜委由第三方獨立稽核機構為之。


六、計畫網站資通安全管理改善
（一）資訊單位應定期（至少一年一次）彙整業務單位提供之計畫網站資
      通安全管理計畫實施報告，陳報機關（構）資訊安全長核定後，於
      每年三月底前函報本部備查。
（二）計畫網站資通安全管理計畫實施報告，至少應包含：
      1.計畫網站資通安全管理要求實施結果。
      2.計畫網站資通安全管理年度稽核結果。
      3.資通安全控制措施改善方案。
      4.計畫網站資通安全管理計畫之最新修訂版本。
（三）業務單位應採取改善措施，避免不符合事項再次發生。
（四）資訊單位應每年定期追蹤改善方案實施成效，於次年計畫網站資通
      安全管理計畫實施報告中提出報告，並陳報機關（構）資訊安全長
      。
（五）資訊單位應定期（至少一年一次）評估計畫網站資通安全管理計畫
      之適切性，為必要之修訂，並陳報機關（構）資訊安全長核定。