柒、評估單位資格與義務
一、評估單位可委由外部專業機構或由公司內部單位進行。如為外部專業
    機構，該機構應與資安評估標的無利害關係，若為內部單位，應獨立
    於原電腦系統開發與維護等相關單位。
二、辦理第一類資通系統資通安全評估作業之評估單位應具備下列各款資
    格條件；辦理第二類及第三類資通系統資通安全評估作業者，依評估
    作業項目需要，具備下列相關資格條件之一：
    1.具備資通安全管理知識，如持有國際資通安全經理人（Certified
      Information Security Manager,CISM ）證書或通過國際資安管理
      系統主導稽核員（Information Security Management System
      Lead Auditor,ISO 27001 LA ）考試合格等。
    2.具備資通安全技術能力，如國際資通安全系統專家（Certified
      InformationSystems Security Professional,CISSP）證書等。
    3.具備模擬駭客攻擊能力，如滲透專家（Certified Ethical
      Hacking, CEH）證書或事件處理專家（Certified Incident
      Handler,CIH ）證書等。
    4.熟悉金融領域載具應用、系統開發或稽核經驗。
三、相關檢視文件、檢測紀錄檔、組態參數、程式原始碼、側錄封包資料
    等與本案相關之全部資料，評估單位應簽立保密切結書並提供適當保
    護措施，以防止資料外洩。
四、評估單位及人員不得隱瞞缺失、不實陳述、洩露資料及不當利用等情
    事。