六、電子郵件社交工程年度演練基準，依本部資通安全會報會議決議之開
    啟率、點閱率定之。

參、計畫作為
一、演練時間
    採無預警不定期方式，每年至少辦理兩次演練。
二、參與機關（單位）
    參與演練之機關為本部及所屬機關，各機關參與演練人數為具有公務
    電子郵件人數之四分之一以上。
三、教育訓練要點
（一）依行政院國家資通安全會報九十四年九月二十八日資安發字第九四
      一○○八○二號「政府機關（構）資訊安全責任等級分級作業施行
      計畫」，應按其資安等級，每年定期舉辦資安教育訓練。
（二）資安教育訓練應納入電子郵件社交工程防制有關之認知宣導，並著
      重攻擊實例說明。
（三）強制要求本部及所屬機關個人電腦之 Outlook  及 Outlook Expr-
      ess 電子郵件功能設定為純文字模式，可在第一時間讓使用者再次
      確認該封信是否為社交工程電子郵件，避免誤點閱該郵件。
（四）每人每年至少接受一小時之「防範電子郵件社交工程」教育訓練（
      含在每人每年四小時資安教育訓練課程內），課程結束後需通過測
      驗方核給時數。
四、演練作業要點
（一）本部資通安全處理小組在本項演練作業中，分三組分工執行各項任
      務：應用系統組、設備網路組及使用稽核組。組織架構如附圖一。
（二）演練期間有關惡意郵件、惡意程式、攻擊工具、滲透破壞程度等，
      均需為可控制、有限度之滲透入侵，並由設備網路組規劃執行。
（三）由行政院國家資通安全會報技術服務中心協助提供電子郵件社交工
      程演練工具及惡意郵件範本（如附件一），郵件主題分為政治、公
      務、健康養生、休閒娛樂、情色等類型，郵件內容包含連結惡意網
      址或惡意附加檔案。
（四）由本部資通安全處理小組以偽冒公務、個人或公司行號等名義發送
      惡意郵件給演練對象，當收件人開啟郵件或點閱郵件所附連結或檔
      案時，應留下記錄，俾利後續統計惡意郵件開啟率及點閱率。
   （1）惡意郵件開啟率：開啟惡意郵件之人數／參演人數。
   （2）惡意郵件點閱率：點閱惡意郵件所附連結或檔案之人數／參演人
        數。
五、演練結果處理
（一）本部資訊處於完成演練作業後，應檢討辦理情形及演練結果，並將
      演練情形報告（格式如附件二）併「資通安全處理小組演練成果」
      報告於每年十月底前送行政院國家資通安全會報彙整。
（二）以六之年度目標為演練標準，演練未達標準之機關應提出檢討及改
      善計畫報部核備，本部未達標準單位應簽陳部次長核定；連續 2  
      次未達標準之待改善機關（取較差之前 3  名，如肆、「待改善機
      關」評選方式）應到本部資通安全會報提報檢討及改善措施。
（三）各機關對演練時開啟或點閱社交工程電子郵件人員，由單位主管予
      以口頭告誡，並強制要求參加至少一小時之補強教育訓練及測驗；
      演練成績未達標準之單位，單位主管須併同出席以督促單位內部之
      改善作為。連續二次演練均開啟及點閱演練郵件，且合計達三封（
      含）以上未改善者，得移人審會議處。
（四）各機關演練時開啟或點閱社交工程電子郵件人員如因故無法參加補
      強教育訓練者，應於一週內自行至本部數位學習平台或「網路文官
      學院」完成相關課程，並經測驗合格後方算完成。未完成者停止其
      電子郵件之使用至完成為止。已參加補強教育訓練但測驗不合格者
      比照辦理。
六、年度目標
    以前一年行政院對中央機關進行演練之平均值（開啟率、點閱率）為
    演練目標。

參、計畫作為
一、演練時間
    採無預警不定期方式，每年至少辦理兩次演練。
二、參與機關（單位）
    參與演練之機關為本部及所屬機關具公務電子郵件之 1/4  （含）以
    上人員參與演練。
三、教育訓練要點
（一）依行政院國家資通安全會報 94 年 9  月 28 日資安發字第 94100
      802 號「政府機關（構）資訊安全責任等級分級作業施行計畫」，
      應按其資安等級，每年定期舉辦資安教育訓練。
（二）資安教育訓練應納入電子郵件社交工程防制有關之認知宣導，並著
      重攻擊實例說明。
（三）強制要求本部及所屬機關個人電腦之 Outlook  及 Outlook Expr-
      ess 電子郵件功能設定為純文字模式，可在第 1  時間讓使用者再
      次確認該封信是否為社交工程電子郵件，避免誤點閱該郵件。
（四）每人每年至少接受 2  小時之「防範電子郵件社交工程」教育訓練
      （含在每人每年 4  小時資安教育訓練課程內），課程結束後需通
      過測驗方核給時數。
四、演練作業要點
（一）本部資通安全處理小組在本項演練作業中，分 3  組分工執行各項
      任務：應用系統組、設備網路組及使用稽核組，組織架構如下：

      A.提供電子郵件名單。
      B.規劃執行演練攻擊作業（準備軟硬體）。
        1.執行演練攻擊作業。
        2.辦理補強資安教育訓練。
        3.彙整演練成果報告轉知所屬機關及報院備查。
 
                    法務部資通安全處理小組

                （法務部資訊處處長擔任召集人）
 
                          應用系統組

                      （資訊處一科及三科）
 
                          設備網路組

                        （資訊處二科）
 
      （資訊處一科）
      A.負責擬定演練計畫。
      B.召開啟動會議。
      C.遴選演練機關，及產生參演機關與演練劇本對照表。

      （資訊處三科）
      A.規劃演練劇本。
      B.保管參演機關與演練劇本對照表。
      C.照相。 
      1.照相。
 
      使用稽核組
      （資訊處稽核管制組）
      A.負責監控各項執行事宜。
                   
（二）演練期間有關惡意郵件、惡意程式、攻擊工具、滲透破壞程度等，
      均需為可控制、有限度之滲透入侵，並由設備網路組規劃執行。
（三）由行政院國家資通安全會報技術服務中心協助提供電子郵件社交工
      程演練工具及惡意郵件範本（如附件一），郵件主題分為政治、公
      務、健康養生、休閒娛樂、情色等類型，郵件內容包含連結惡意網
      址或惡意附加檔案。
（四）由本部資通安全處理小組以偽冒公務、個人或公司行號等名義發送
      惡意郵件給演練對象，當收件人開啟郵件或點閱郵件所附連結或檔
      案時，應留下記錄，俾利後續統計惡意郵件開啟率及點閱率。
   （1）惡意郵件開啟率：開啟惡意郵件之人數／參演人數。
   （2）惡意郵件點閱率：點閱惡意郵件所附連結或檔案之人數／參演人
        數。
五、演練結果
（一）本部資訊處於完成演練作業後，應檢討辦理情形及演練結果，並將
      演練情形報告（格式如附件二）併「資通安全處理小組演練成果」
      報告於每年 10 月底前送行政院國家資通安全會報彙整。
（二）以六、年度目標為演練標準，第 1  次演練未達標準之機關應提出
      檢討及改善計畫報部核備，本部未達標準單位應簽陳部次長核備；
      連續 2  次未達標準之待改善機關（取較差之前 3  名，如肆、評
      審辦法）應到本部部務會報提報檢討改善計畫。
（三）各機關對演練時開啟或點閱社交工程電子郵件人員，由單位主管予
      以口頭告誡，並強制要求參加至少 1  小時之補強教育訓練及測驗
      ；單位平均演練成績未達標準之單位，單位主管須併同出席以督促
      單位內部之改善作為。連續 2  次演練開啟及點閱演練郵件合計達
      3 次（含）以上未改善者，得移人審會議處。
（四）各機關演練時開啟或點閱社交工程電子郵件人員如確實因故無法參
      加補強教育訓練者，應於一週內自行至「網路文官學院」完成相關
      課程後，向資訊主兼辦單位報名參加測驗，測驗合格方算完成。未
      完成者得停止其電子郵件之使用至完成為止。已參加補強教育訓練
      但測驗不合格者得比照辦理。
六、年度目標
    以 96 年底行政院對中央機關進行演練之平均值（開啟率 9  ％以下
    、點閱率 5.5  ％以下）為演練目標。