經營者有下列情形之一，經主管機關通知，應於一年內建立資通安全防護及偵測設施，並定期進行滲透測試、弱點掃描及修補作業，並通過ISO/IEC27001國際標準及主管機關公告之電信事業資通安全管理手冊ISO/IEC27011增項稽核表之資通安全管理驗證，該驗證之實施作業範圍應先報請主管機關核准，並納入驗證事項：

前項期間，經國家安全或資通安全有關機關知會，主管機關得通知經營者縮減之。

申請經營第二類電信事業者，經主管機關考量經營業務與設施之關鍵性、用戶數或網路規模、經營控制權等因素認定有必要時，應檢附資通安全防護及偵測設施建置計畫書，並承諾於取得許可執照前通過第一項之資通安全管理驗證。

第一項經營者應依主管機關公告之資通安全應變作業程序，建立資通安全事件之通報、處理、回報等聯防應變措施。

資通安全事件發生後，經營者應依主管機關通報之資安事件，辦理緊急應變措施並保存紀錄，回報主管機關備查，該紀錄應至少保存六個月。

經營者設置電信設備機房者，應建立人員進出管制工作日誌，記錄進出人員姓名、身分證統一編號或護照號碼、所屬機關（構）、進出時間、進入目的及複查人員之複查紀錄等內容，工作日誌應至少保存六個月。

前項電信設備機房包括網管中心機房。

電信設備機房出入口應設置錄影設備監視並記錄之，錄影紀錄應至少保存六個月。

具危害國家安全疑慮之人員，經國家安全或資通安全有關機關知會主管機關，並由主管機關通知經營者，經營者不得允許該人員進入電信設備機房。

經營者如委託他人設計涉及網路系統資源、用戶個人資料及通信內容相關之資訊系統軟體或維運系統者，應先報請主管機關備查，維運作業時應由電信設備機房員工全程監控，並將系統連線之操作指令完整記錄之，該紀錄檔應至少保存六個月。

具危害國家安全疑慮之人員，經國家安全或資通安全有關機關知會主管機關，並由主管機關通知經營者，經營者不得委託該人員進行涉及網路系統資源、用戶個人資料及通信內容相關之資訊系統軟體設計、遠端系統連線維運及測試作業。