法務部防範電子郵件社交工程施行計畫第五點、第七點修正規定

五、本施行計畫之演練作業要點如下：

(一)本部資通安全處理小組在本項演練作業中共分三組分工執行各項任務：應用系統組、設備網路組及使用稽核組。各組權責分工及組織架構如附圖一。

(二)演練期間有關惡意郵件、惡意程式、攻擊工具、滲透破壞程度等，均需為可控制、有限度之滲透入侵，並由使用稽核組規劃執行。

(三)由國家資通安全研究院協助提供電子郵件社交工程演練工具及惡意郵件範本（如附件一），郵件主題分為政治、公務、健康養生、休閒娛樂、情色等類型，郵件內容包含連結惡意網址或惡意附加檔案。

(四)由本部資通安全處理小組以偽冒公務、個人或公司行號等名義發送惡意郵件給演練對象，當收件人開啟郵件或點閱郵件所附連結或檔案時，應留下紀錄，俾利後續統計惡意郵件開啟率及點閱率。

1.惡意郵件開啟率：開啟惡意郵件之人數／參演人數。

2.惡意郵件點閱率：點閱惡意郵件所附連結或檔案之人數／參演人數。

七、電子郵件社交工程演練結果處理如下：

(一)本部資訊處於完成演練作業後，應檢討辦理情形及演練結果，並將演練情形報告彙整後，於每次演練完成後一個月內至數位發展部資通安全署資通安全作業管考系統填報。

(二)本部及所屬機關（單位）演練未達基準者，應提出檢討及改善計畫（格式如附件二）。前開計畫，本部所屬機關應報部核定；本部各單位應簽陳部次長核定，並將計畫影本副知本部資訊處；當年度兩次演練皆未達基準之待改善機關（單位），所屬機關取評比最末三名，本部各單位取評比最末一名，由機關首長（單位主管）至本部資通安全會報提報檢討及改善措施。

(三)各機關（單位）對演練時開啟或點閱社交工程電子郵件人員，由首長（單位主管）予以口頭告誡，並強制要求參加至少一小時之補強教育訓練及測驗。當年度兩次演練均開啟及點閱演練郵件，且合計達三封（含）以上未改善者，得移送考績會議處。

(四)各機關（單位）演練時開啟或點閱社交工程電子郵件人員如因故無法參加補強教育訓練者，應於一週內自行至相關公務人員數位學習平台網站完成相關課程，並經測驗合格後方算完成。未完成者停止其電子郵件之使用至完成為止。已參加補強教育訓練，但測驗仍不合格者比照辦理。

(五)為鼓勵表現良好之機關，本部得視其歷年表現狀況及下列條件，以每一績優機關敘獎人數不超過三人為原則，督導主管及主辦人員各記功一次、協辦人員敘嘉獎一至二次予以獎勵：

1.該年度兩次演練，以有效電子郵件帳號數為基準，計算演練結果均合格者，依兩次演練之開啟率平均值由低至高及有效電子郵件帳號數由高至低排序，且近三年未曾因此項電子郵件社交工程演練績優敘獎者，取前三名為績優，將函請該機關對辦理本項演練有功人員予以敘獎鼓勵。

2.為鼓勵維持防範電子郵件社交工程良好表現，機關連續三年開啟率及點閱率皆保持為零，列為績優機關，並予以敘獎鼓勵。