（設備盤點評估）
組織應建立物聯網設備管理清冊並至少每年更新一次，以識別設備用途、
網路設定、存放位置與管理人員，評估適當之實體環境控管措施及存取權
限管制。

（設備連線控管）
組織應關閉物聯網設備不必要之網路連線及服務，並避免使用對外公開的
網際網路位置，如設備採用公開的網際網路位置，應於設備前端設置防火
牆予以防護，並採用白名單方式進行存取過濾。如設備以無線連接網路者
，應採用具加密協定之無線存取點連接網路，並以網路卡卡號白名單等機
制進行設備綁定。

（設備採購控管）
組織於採購物聯網設備前應依據二十四條至二十六條進行評估及測試，宜
優先採購取得資安標章之物聯網設備。

（供應商管理）
組織如與物聯網設備供應商簽定採購合約時，其內容應包含資通安全相關
協議，明確約定相關責任（如：服務承諾、安全性更新年限、主動通報設
備已知資安漏洞並提出相關應變處置方案），確保設備不存在已知安全性
漏洞。

（物聯網認知控管）
組織應定期辦理物聯網設備使用及管理人員資安教育訓練。

（例外控管）
組織知悉物聯網設備存在已知弱點且無法更新，或因設備功能限制無法落
實第二十四條至二十六條之規範，應中斷設備網路連線，僅於必要時連接
內部網路並擬定汰換計畫，汰換前應設置於獨立網段與內部網路進行區隔
。