行政院111年度預算案「國土及資通安全業務-02資通安全業務」分支計畫編列331萬元，與110年度預算相同。工作項目包括舉辦國家資安政策相關會議、檢討修正資通安全管理法、協調推動重大資安計畫、持續推動資通安全自主產品採購原則、修訂資通安全相關規範、精進資安治理成熟度評估作業等。經查：

(一)訂有「資通安全管理法」子法「資通安全責任等級分級辦法」

行政院於107年6月6日制定公布「資通安全管理法」，復於同年11月21日訂定發布其子法「資通安全責任等級分級辦法」，並同於108年1月1日正式施行。依據「資通安全責任等級分級辦法」第4條規定，各機關有下列情形之一者，其資通安全責任等級為A級，略以：業務涉及國家機密、外交、國防或國土安全事項、全國性民眾服務或跨公務機關共用性資通系統之維運、全國性民眾或公務員個人資料檔案之持有者；屬公務機關，且業務涉及全國性之關鍵基礎設施事項；屬關鍵基礎設施提供者，且業務經中央目的事業主管機關考量其提供或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性，認其資通系統失效或受影響，對社會公共利益、民心士氣或民眾生命、身體、財產安全將產生災難性或非常嚴重之影響；屬公立醫學中心者。

另同辦法第5條規定，各機關有下列情形之一者，其資通安全責任等級為 B 級，略以：業務涉及公務機關捐助、資助或研發之國家核心科技資訊之安全維護及管理；涉及區域性、地區性民眾服務或跨公務機關共用性資通系統之維運；涉及區域性或地區性民眾個人資料檔案之持有；涉及中央二級機關及所屬各級機關（構）共用性資通系統之維運；及屬公務機關，且業務涉及區域性或地區性之關鍵基礎設施事項；屬關鍵基礎設施提供者，且業務經中央目的事業主管機關考量其提供或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性，認其資通系統失效或受影響，對社會公共利益、民心士氣或民眾生命、身體、財產安全將產生嚴重影響；屬公立區域醫院或地區醫院者。

(二)部分機關109年度存有資通安全專職人力不足，及未落實執行檢核項目之情形

為精進資安治理成熟度評估作業，該院資通安全處於109年9月邀集A、B級公務機關辦理「政府機關資安治理成熟度評估說明會」，並彙整機關自評撰擬109年度資安治理成熟度執行報告。

參據該院說明，109年共計44個A級政府機關及197個B級政府機關填報資安治理成熟度，經分析自評結果，A級機關成熟度等級平均值為2.56，B級機關成熟等級平均值為1.41。(成熟度等級由低至高區分為0至5級)

配合國家資通安全發展方案(106年至109年)之績效指標，A級公務機關應落實成熟度達第3級，統計44個A級機關中，109年有32個機關達成熟度第3級以上。其他機關未達成熟度第3級之原因，多為專業證照與職能評量證書數量未達標準、資通安全專職人力不足、相關檢核項目尚未有標準作業程序並落實執行，故未符合要求。

為協助更多A級與B級政府機關執行資安治理成熟度自評作業，將持續辦理說明會、輔導訓練課程及實地輔導作業。且為確實衡量我國政府機關之防禦能力及治理成效，後續將加入客觀指標，例如蒐集監控數據、攻防演練成效等資訊，精進政府機關防護等級之真實性。

綜上，為因應資通訊科技發展及資安威脅趨勢，先進國家已將「資安管理」提升至「資安治理」層次，資安風險為機關重要風險之一，資安目標亦為機關重要目標之一。惟依據機關自評撰擬109年度資安治理成熟度執行報告，仍有部分A級機關未達成熟度第3級，行政院允宜強化政府機關資通安全專職人力、訂定並落實執行標準作業程序，俾降低資安風險。