經營者有下列情形之一，經主管機關通知，應於一年內建立資通安全防護 及偵測設施，並定期進行滲透測試、弱點掃描及修補作業，並通過 ISO/ IEC27001 國際標準及主管機關公告之電信事業資通安全管理手冊 ISO/ IEC27011 增項稽核表之資通安全管理驗證，該驗證之實施作業範圍應先 報請主管機關核准，並納入驗證事項：

一、經營者系統發生資通安全事件達國家資通安全通報應變作業綱要規定 之影響等級第三級以上者。

二、有危害國家安全或資通安全之虞，經有關機關知會者。

三、經主管機關考量經營業務與設施之關鍵性、用戶數或網路規模、經營 控制權等因素認定有必要者。

前項期間，經國家安全或資通安全有關機關知會，主管機關得通知經營者 縮減之。

申請經營第二類電信事業者，經主管機關考量經營業務與設施之關鍵性、 用戶數或網路規模、經營控制權等因素認定有必要時，應檢附資通安全防 護及偵測設施建置計畫書，並承諾於取得許可執照前通過第一項之資通安 全管理驗證。

第一項經營者應依主管機關公告之資通安全應變作業程序，建立資通安全 事件之通報、處理、回報等聯防應變措施。

資通安全事件發生後，經營者應依主管機關通報之資安事件，辦理緊急應 變措施並保存紀錄，回報主管機關備查，該紀錄應至少保存六個月。

經營者設置電信設備機房者，應建立人員進出管制工作日誌，記錄進出人 員姓名、身分證統一編號或護照號碼、所屬機關（構）、進出時間、進入 目的及複查人員之複查紀錄等內容，工作日誌應至少保存六個月。

前項電信設備機房包括網管中心機房。

電信設備機房出入口應設置錄影設備監視並記錄之，錄影紀錄應至少保存 六個月。

具危害國家安全疑慮之人員，經國家安全或資通安全有關機關知會主管機 關，並由主管機關通知經營者，經營者不得允許該人員進入電信設備機房 。

經營者如委託他人設計涉及網路系統資源、用戶個人資料及通信內容相關 之資訊系統軟體或維運系統者，應先報請主管機關備查，維運作業時應由 電信設備機房員工全程監控，並將系統連線之操作指令完整記錄之，該紀 錄檔應至少保存六個月。

具危害國家安全疑慮之人員，經國家安全或資通安全有關機關知會主管機 關，並由主管機關通知經營者，經營者不得委託該人員進行涉及網路系統 資源、用戶個人資料及通信內容相關之資訊系統軟體設計、遠端系統連線 維運及測試作業。