一、評估單位可委由外部專業機構或由金融機構內部單位進行。如為外部
    專業機構，應與提供、維護資安評估標的之機構無利害關係，若為金
    融機構內部單位，應獨立於電腦系統開發與維護等相關部門。
二、辦理第一類電腦系統資訊安全評估作業之評估單位應具備下列各款資
    格條件；辦理第二類及第三類電腦系統資訊安全評估作業者，依評估
    作業項目需要，具備下列相關資格條件之一：
  （一）具備資訊安全管理知識，如持有國際資訊安全經理人（Certifie
        d Information Security Manager, CISM）證書或通過國際資安
        管理系統主導稽核員（Information Security Management Syst
        em Lead Auditor, ISO 27001 LA）考試合格等。
  （二）具備資訊安全技術能力，如國際資訊安全系統專家（Certified 
        Information Systems Security Professional, CISSP）證書等
        。
  （三）具備模擬駭客攻擊能力，如滲透專家（Certified Ethical Hack
        ing, CEH）證書或事件處理專家（Certified Incident Handler
        , CIH）證書等。
  （四）熟悉金融領域載具應用、系統開發或稽核經驗。
三、相關檢視文件、檢測紀錄檔、組態參數、程式原始碼、側錄封包資料
    等與本案相關之全部資料，評估單位應簽立保密切結書並提供適當保
    護措施，以防止資料外洩。
四、評估單位及人員不得隱瞞缺失、不實陳述、洩露資料及不當利用等情
    事。
五、本國銀行海外分支機構之資訊安全評估作業應依據當地國家或地區相
    關規定辦理，若當地無相關規定，仍應遵循本辦法規定。