經營者應於取得特許執照之日起一年內建立資通安全防護與偵測設施,並於二年內通過下列資通安全管理驗證:
一、CNS 27001 國家標準或 ISO/IEC 27001 國際標準。
二、主管機關公告之電信事業資通安全管理手冊 ISO/IEC 27011 增項稽核表。
本規則中華民國一百零六年五月二十二日修正之條文施行前,已取得特許執照之經營者,應自修正施行之日起一年內建立資通安全防護與偵測設施,並於二年內通過前項資通安全管理驗證。
前二項驗證之實施作業範圍與資通安全偵測防護設施,應報請主管機關核准。
經營者有下列情形之一,應依主管機關通知,修正第一項及第二項驗證之實施作業範圍,報請主管機關核准,並於主管機關指定期限內通過資通安全管理驗證:
一、系統發生資通安全事件達國家資通安全通報應變作業綱要規定之影響等級第三級以上者。
二、有危害國家安全或資通安全之虞,經有關機關通知者。
第一項及第二項期間,經國家安全或資通安全有關機關通知,主管機關得命經營者縮減之。
經營者應定期進行滲透測試、弱點掃描及修補作業,且應依主管機關公告之資通安全應變作業程序,建立資通安全事件之通報、處理、回報等聯防應變措施。
資通安全事件發生後,經營者應依主管機關通報之資安事件,辦理緊急應變措施並保存紀錄,回報主管機關備查,該紀錄應至少保存六個月。