主管機關辦理第三條第一項之稽核,應依同條第二項所定考量因素,就各受稽核機關分別組成三人以上之稽核小組。
主管機關組成前項稽核小組時,應考量稽核之需求,邀請具備資通安全政策或該次稽核所需之技術、管理、法律或實務專業知識之公務機關代表或專家學者擔任小組成員,其中公務機關代表不得少於全體成員人數之四分之一。
主管機關應以書面與稽核小組成員約定利益衝突之迴避及保密義務。
第二項之公務機關代表或專家學者,有下列情形之一者,應主動迴避擔任該次稽核之稽核小組成員:
一、本人、其配偶、三親等內親屬、家屬或上開人員財產信託之受託人,與受稽核機關或其負責人間有財產上或非財產上之利害關係。
二、本人、其配偶、三親等內親屬或家屬,與受稽核機關或其負責人間,目前或過去二年內有僱傭、承攬、委任、代理或其他類似之關係。
三、本人目前或過去二年內任職之機關(構)或單位,曾為受稽核機關之顧問,其輔導項目與受稽核項目相關。
四、其他情形足認擔任稽核小組成員,將對稽核結果之公正性造成影響。