（系統發展生命週期需求分析與設計階段）
一、組織於系統需求分析階段，應針對資通系統安全需求（含機密性、可
    用性、完整性）進行確認。
二、組織應根據核心系統功能與要求，識別可能影響系統之威脅，進行風
    險分析及評估，非核心系統宜進行威脅識別、風險分析及評估。
三、組織應將核心系統風險評估結果回饋需求階段之檢核項目，並提出安
    全需求修正，非核心系統宜依風險評估結果修正安全需求。

（系統發展生命週期開發與測試階段）
一、資通系統應針對安全需求實作必要控制措施。
二、資通系統應注意避免軟體常見漏洞及實作必要控制措施。
三、資通系統發生錯誤時，使用者頁面僅顯示簡短錯誤訊息及代碼，不包
    含詳細之錯誤訊息。
四、提供網際網路下單服務之組織，核心系統宜執行「源碼掃描」安全檢
    測。
五、第一類組織之核心系統宜具備發生嚴重錯誤時之通知機制。
六、提供網際網路下單服務之組織，應定期（至少每半年乙次）辦理資通
    系統「弱點掃描」安全檢測。
七、提供網際網路下單服務之組織，應定期對提供網際網路服務之核心系
    統辦理「滲透測試」安全檢測。

（系統發展生命週期部署、維運與委外階段）
一、組織於部署環境中應針對資通系統相關安全威脅與漏洞，進行更新與
    修補，並關閉不必要服務及埠口。
二、組織應檢視現有之資通系統，應設定使用優質密碼，且應避免使用預
    設密碼。
三、組織於資通系統發展生命週期之維運階段，應執行版本控制與變更管
    理。
四、組織如委外辦理資通系統開發，應將系統發展生命週期各階段依等級
    將安全需求（含機密性、可用性、完整性）納入委外契約。

（獲得程序與系統文件）
一、資通系統正式作業環境應與開發、測試作業環境區隔。
二、組織應儲存與管理資通系統發展生命週期之相關文件。