針對日前「台灣網路治理論壇(Taiwan IGF)」對於「資通安全管理法草案」的相關討論，行政院資通安全處今（10）日澄清說明如下：

目前所規劃的資通安全責任等級分級方式，高中以下各級公立學校如未自行或委外開發資通系統，或未設置該資通系統主機或伺服器者，資通安全責任等級列為D級；如有自行或委外開發資通系統，並設置該資通系統主機或伺服器情形者，且經由主管機關(即教育部)評估後，則列為C級。而私立學校因非公務機關，且非屬本草案所指特定非公務機關(即關鍵基礎設施提供者、公營事業及政府捐助的財團法人)，原則不在規範內。

在應辦事項方面，資通安全責任等級列為C級者，應每兩年辦理一次內部資通安全稽核；資通安全責任等級列為D級者則無此規定。但不論C級或D級，均不須辦理第三方外部稽核。

此外，有關資通安全責任等級認定，因考量受規範對象的業務機敏性、是否涉及關鍵基礎設施的維運或提供、個人資料檔案數量等不同因素，仍訂有彈性規定，行政院等機關於核定或提交資通安全責任等級時，得視實務狀況予以適當調整(即調升或調降等級)。

目前行政院資安處所研擬的相關子法條文內容，均屬草案階段且未定稿，條文內容如有易讓外界誤解之處也將配合修正，亦持續徵詢及蒐集各界意見，以加速建構完善國家資通安全環境。