資通安全健診對於使用者端電腦惡意活動檢視並無明確比例之規定，原則上檢測範圍為全機關，機關如囿於經費，可將部分非從事核心業務之使用者電腦，分年完成使用者電腦檢測 ，惟檢測週期不宜逾2年。

另建議機關單位正副主管以上及機要人員、資訊單位同仁、委外廠商駐點人員、維護機關核心資通系統之承辦同仁等電腦，應加強檢測頻率，以利及早掌握資安威脅狀態。

依資安法施行細則第7條規定之核心資通系統，係指滿足任一條件者（支持核心業務持續運作必要之系統、或資通系統防護需求等級為高），都為核心資通系統，核心資通系統的擇選範圍以應用系統為原則。

如該資通系統屬由其他機關（含上級機關）提供之共用性系統，則由該資通系統之主責設置、維護或開發機關判斷是否屬於核心資通系統（系統防護需求分級亦同），本原則並已列示於資通安全責任等級分級辦法附表一至六之備註一。

一、同等或以上效果之資訊安全管理系統或標準，係指資安法納管對象針對其特殊事業領域已有國際或國內慣用之特定資訊安全管理系統標準，且效果同等或高於CNS 27001或ISO 27001者。

二、有關公正第三方係指通過我國標準法主管機關（經濟部）委託機構（財團法人全國認證基金會，TAF）認證之機構，可至TAF官網之「認證名錄」查詢「管理系統驗證機構」（ https://www.taftw.org.tw/directory/scheme/msv ）。

三、考量第三方驗證作業之公正性及獨立性，機關如委外辦理ISMS輔導及驗證時，輔導案及驗證案之服務契約，應分別招標。

考量資安法納管對象為全機關，並確保內部稽核有效性，機關內部資安稽核範圍應涵蓋機關資通安全維護計畫之適用範圍，而非僅限資訊單位，另建議先擬定整體稽核計畫，確認各單位之稽核頻率、稽核委員組成及稽核發現之後續追蹤管考機制等。

針對無建置資通系統之單位，稽核重點可針對同仁對資通系統之使用行為、社交工程演練落實情形及資安意識訓練等。

一、依資通安全責任等級分級辦法，A、B級公務機關應於初次受核定或等級變更後1年內，依主管機關公告之項目，完成GCB導入作業，並持續維運。

二、主管機關如有公告新增項目，A、B級公務機關應於公告1年內，完成新增項目GCB之導入。

三、GCB係規範資通訊終端設備的一致性安全設定，套用原則為專版專用，各機關導入GCB時，應充分進行測試後再套用，以避免發生預期外之狀況。各機關得依實務需求進行例外管理，並落實審核及定期檢討。

四、有關GCB相關說明文件、數位教材及部署資源，可參考國家資通安全研究院網站「 政府組態基準(GCB) 」專區。

一、公務機關VANS導入範圍以全機關之資訊資產為原則，有關支持核心業務持續運作相關之資通系統主機與電腦應於規定時限內完成導入；關鍵基礎設施提供者VANS之導入範圍至少應涵蓋關鍵資訊基礎設施及營運持續運作必要相關資通系統。

二、為有效且即時管理弱點，並降低機關資安風險，機關應訂定內部資通安全管理規範，落實弱點管理作為，並納入機關內部稽核與管理審查等機制，進行檢討與改善。

三、針對資訊資產盤點資料上傳頻率，建議每月定期上傳以比對弱點資訊，並針對發現弱點設定修補期限；如為高風險以上之弱點，應即時修補；弱點未能如期修補時，應於完成修補前規劃緩解措施，加強監控、防護配套與異常偵測。相關弱點處置方式或改善措施，建議每月完成比對弱點後兩週內至VANS系統（更新）填寫，強化機關弱點管控作為。