一、電腦系統依其重要性分為三類：
    ┌──────┬───────────┬─────────┐
    │電腦系統類別│定義                  │評估週期          │
    ├──────┼───────────┼─────────┤
    │第一類      │直接提供客戶自動化服務│每年至少辦理一次資│
    │            │或對營運有重大影響之系│訊安全評估作業    │
    │            │統（如電子銀行、分行櫃│                  │
    │            │台、ATM 自動化服務及  │                  │
    │            │SWIFT 等系統）        │                  │
    ├──────┼───────────┼─────────┤
    │第二類      │經人工介入以直接或間接│每三年至少辦理一次│
    │            │提供客戶服務之系統（如│資訊安全評估作業  │
    │            │作業中心、客戶服務等系│                  │
    │            │統）                  │                  │
    ├──────┼───────────┼─────────┤
    │第三類      │未接觸客戶資訊或服務且│每五年至少辦理一次│
    │            │對營運無影響之系統或設│資訊安全評估作業  │
    │            │備（如人資、財會、總務│                  │
    │            │等系統及物聯網設備）  │                  │
    └──────┴───────────┴─────────┘
二、單一系統且為數眾多之設備得以抽測方式辦理，抽測比例每次至少應
    占該系統全部設備之10％或 100台以上（如ATM、KIOSK及分行櫃台端
    末設備等）；其中相同作業系統與安全更新之ATM及ATM之相關伺服器
    至少應抽測一台，相同 ATM之相關伺服器應用系統版本至少應抽測一
    台。
三、單一系統發生重大資訊安全事件，應於三個月內重新完成資訊安全評
    估作業。