評估報告
一、「電腦系統資訊安全評估報告」（以下簡稱評估報告）內容應至少包
    含評估人員資格、評估範圍、評估作業項目與標的、評估紀錄、評估
    時所發現之缺失項目、缺失嚴重程度、缺失類別、風險說明、具體改
    善建議及社交演練結果。
二、應依據評估報告內容缺失程度區分風險等級，並擬定各風險對應之控
    管措施及處理時限，送稽核單位進行缺失改善事項之追蹤覆查。
三、評估報告缺失覆查應提報董（理）事會或經其授權之經理部門，但外
    國銀行在臺分行，得由總行授權之人員為之，以落實由高階管理階層
    督導缺失改善。
四、評估報告應併同缺失改善等相關文件至少保存五年。