主管機關除因不可抗力因素外，應每年擇定受稽核之特定非公務機關（以
下簡稱受稽核機關），並以現場實地稽核之方式，稽核其資通安全維護計
畫實施情形。
主管機關擇定前項受稽核機關時，應綜合考量其業務之重要性與機敏性、
資通系統之規模與性質、資通安全事件發生之頻率與程度、資通安全演練
之成果、歷年受主管機關或中央目的事業主管機關稽核之頻率與結果或其
他與資通安全相關之因素。
主管機關為辦理第一項稽核，應訂定稽核計畫，其內容包括稽核之依據與
目的、期間、重點領域、稽核小組組成方式、保密義務、稽核方式、基準
與項目及中央目的事業主管機關協助事項。
主管機關決定前項稽核之重點領域與基準及項目時，應綜合考量我國資通
安全政策、國內外資通安全趨勢、過往稽核計畫之內容與稽核結果，及其
他與稽核資源之適當分配或稽核成效相關之因素。

主管機關辦理第三條第一項之稽核，應依同條第二項所定考量因素，就各
受稽核機關分別組成三人以上之稽核小組。
主管機關組成前項稽核小組時，應考量稽核之需求，邀請具備資通安全政
策或該次稽核所需之技術、管理、法律或實務專業知識之公務機關代表或
專家學者擔任小組成員，其中公務機關代表不得少於全體成員人數之四分
之一。
主管機關應以書面與稽核小組成員約定利益衝突之迴避及保密義務。
第二項之公務機關代表或專家學者，有下列情形之一者，應主動迴避擔任
該次稽核之稽核小組成員：
一、本人、其配偶、三親等內親屬、家屬或上開人員財產信託之受託人，
    與受稽核機關或其負責人間有財產上或非財產上之利害關係。
二、本人、其配偶、三親等內親屬或家屬，與受稽核機關或其負責人間，
    目前或過去二年內有僱傭、承攬、委任、代理或其他類似之關係。
三、本人目前或過去二年內任職之機關（構）或單位，曾為受稽核機關之
    顧問，其輔導項目與受稽核項目相關。
四、其他情形足認擔任稽核小組成員，將對稽核結果之公正性造成影響。

本辦法之施行日期，由主管機關定之。
本辦法修正條文自發布日施行。