第 31-1 條
經營者有下列情形之一,經主管機關通知,應於一年內建立資通安全防護及偵測設施,並定期進行滲透測試、弱點掃描及修補作業,並通過ISO/IEC27001國際標準及主管機關公告之電信事業資通安全管理手冊ISO/IEC27011增項稽核表之資通安全管理驗證,該驗證之實施作業範圍應先報請主管機關核准,並納入驗證事項:
一、經營者系統發生資通安全事件達國家資通安全通報應變作業綱要規定之影響等級第三級以上者。
二、有危害國家安全或資通安全之虞,經有關機關知會者。
三、經主管機關考量經營業務與設施之關鍵性、用戶數或網路規模、經營控制權等因素認定有必要者。
前項期間,經國家安全或資通安全有關機關知會,主管機關得通知經營者縮減之。
申請經營第二類電信事業者,經主管機關考量經營業務與設施之關鍵性、用戶數或網路規模、經營控制權等因素認定有必要時,應檢附資通安全防護及偵測設施建置計畫書,並承諾於取得許可執照前通過第一項之資通安全管理驗證。
第一項經營者應依主管機關公告之資通安全應變作業程序,建立資通安全事件之通報、處理、回報等聯防應變措施。
資通安全事件發生後,經營者應依主管機關通報之資安事件,辦理緊急應變措施並保存紀錄,回報主管機關備查,該紀錄應至少保存六個月。