公務機關應符合其所屬資通安全責任等級之要求，並考量其所保有或處理
之資訊種類、數量、性質、資通系統之規模與性質等條件，訂定、修正及
實施資通安全維護計畫。

公務機關應置資通安全長，由機關首長指派副首長或適當人員兼任，負責
推動及監督機關內資通安全相關事務。

公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形；無上
級機關者，其資通安全維護計畫實施情形應送交主管機關。

公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。
受稽核機關之資通安全維護計畫實施有缺失或待改善者，應提出改善報告
，送交稽核機關及上級或監督機關。

公務機關為因應資通安全事件，應訂定通報及應變機制。
公務機關知悉資通安全事件時，除應通報上級或監督機關外，並應通報主
管機關；無上級機關者，應通報主管機關。
公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告，
並送交主管機關；無上級機關者，應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事
項之辦法，由主管機關定之。

公務機關所屬人員對於機關之資通安全維護績效優良者，應予獎勵。
前項獎勵事項之辦法，由主管機關定之。