一、為提高法務部（以下簡稱本部）及所屬機關人員資安警覺性以降低電
    子郵件社交工程攻擊風險，規範電子郵件社交工程防制年度目標、舉
    辦相關資安教育訓練及宣導、規劃辦理演練作業，以強化人員資安意
    識並檢驗各機關宣導電子郵件社交工程防制成效，特訂定本施行計畫
    。

二、本施行計畫演練時間係採無預警不定期方式，每半年辦理一次電子郵
    件社交工程演練。

依「資通安全事件通報及應變辦法」第八條規定，修正社交工程演練週期
。

三、參與電子郵件社交工程演練之機關為本部及所屬機關，各機關參與演
    練人數為具有公務電子郵件人數之四分之一以上。

四、本施行計畫之教育訓練要點如下：
  （一）依行政院函頒之「資通安全責任等級分級辦法」，各機關應按其
        資安等級，每年定期舉辦資安教育訓練。
  （二）資安教育訓練應納入電子郵件社交工程防制有關之認知宣導，並
        著重攻擊實例說明。
  （三）強制要求本部及所屬機關個人電腦之電子郵件軟體，關閉郵件自
        動預覽功能，並將郵件設定為純文字閱覽模式，可在第一時間讓
        使用者再次確認該封郵件是否為社交工程電子郵件，避免誤點閱
        該郵件。
  （四）每人每年至少接受一小時之「防範電子郵件社交工程」教育訓練
        （含在每人每年三小時資安教育訓練課程內），課程結束後需通
        過測驗方核給時數。

一、配合「資通安全責任等級分級辦法」施行及「政府機關（構）資通安
    全責任等級分級作業規定」停止適用，修正第一款。
二、其餘款次未修正。

五、本施行計畫之演練作業要點如下：
  （一）本部資通安全處理小組在本項演練作業中共分三組分工執行各項
        任務：應用系統組、設備網路組及使用稽核組。各組權責分工及
        組織架構如附圖一。
  （二）演練期間有關惡意郵件、惡意程式、攻擊工具、滲透破壞程度等
        ，均需為可控制、有限度之滲透入侵，並由使用稽核組規劃執行
        。
  （三）由行政院國家資通安全會報技術服務中心協助提供電子郵件社交
        工程演練工具及惡意郵件範本（如附件一），郵件主題分為政治
        、公務、健康養生、休閒娛樂、情色等類型，郵件內容包含連結
        惡意網址或惡意附加檔案。
  （四）由本部資通安全處理小組以偽冒公務、個人或公司行號等名義發
        送惡意郵件給演練對象，當收件人開啟郵件或點閱郵件所附連結
        或檔案時，應留下紀錄，俾利後續統計惡意郵件開啟率及點閱率
        。
        1.惡意郵件開啟率：開啟惡意郵件之人數／參演人數。
        2.惡意郵件點閱率：點閱惡意郵件所附連結或檔案之人數／參演
          人數。

六、電子郵件社交工程年度演練基準，依本部資通安全會報會議決議之開
    啟率、點閱率定之。

七、電子郵件社交工程演練結果處理如下：
  （一）本部資訊處於完成演練作業後，應檢討辦理情形及演練結果，並
        將演練情形報告彙整後，於每次演練完成後一個月內送行政院備
        查。
  （二）本部及所屬機關（單位）演練未達基準者，應提出檢討及改善計
        畫（格式如附件二）。前開計畫，本部所屬機關應報部核定；本
        部各單位應簽陳部次長核定，並將計畫影本副知本部資訊處；當
        年度兩次演練皆未達基準之待改善機關（單位），所屬機關取評
        比最末三名，本部各單位取評比最末一名，由機關首長（單位主
        管）至本部資通安全會報提報檢討及改善措施。
  （三）各機關（單位）對演練時開啟或點閱社交工程電子郵件人員，由
        首長（單位主管）予以口頭告誡，並強制要求參加至少一小時之
        補強教育訓練及測驗；演練成績未達基準之機關（單位），首長
        （單位主管）須併同出席補強教育訓練以督促機關（單位）內部
        之改善作為。當年度兩次演練均開啟及點閱演練郵件，且合計達
        三封（含）以上未改善者，得移送考績會議處。
  （四）各機關（單位）演練時開啟或點閱社交工程電子郵件人員如因故
        無法參加補強教育訓練者，應於一週內自行至相關公務人員數位
        學習平台網站完成相關課程，並經測驗合格後方算完成。未完成
        者停止其電子郵件之使用至完成為止。已參加補強教育訓練，但
        測驗仍不合格者比照辦理。
  （五）為鼓勵表現良好之機關，本部得視其歷年表現狀況及下列條件，
        以每一績優機關敘獎人數不超過三人為原則，督導主管及主辦人
        員各記功一次、協辦人員敘嘉獎一至二次予以獎勵：
        1.該年度兩次演練，以有效電子郵件帳號數為基準，計算演練結
          果均合格者，依兩次演練之開啟率平均值由低至高及有效電子
          郵件帳號數由高至低排序，且近三年未曾因此項電子郵件社交
          工程演練績優敘獎者，取前三名為績優，將函請該機關對辦理
          本項演練有功人員予以敘獎鼓勵。
        2.為鼓勵維持防範電子郵件社交工程良好表現，機關連續三年開
          啟率及點閱率皆保持為零，列為績優機關，並予以敘獎鼓勵。

一、依「資通安全事件通報及應變辦法」第八條規定，修正第一款演練情
    形報告之提報機關。
二、配合本部數位學習平台 108年度已終止使用，第四款刪除該系統名稱
    。
三、其餘款次未修正。

八、本施行計畫第七點第二款「待改善機關」評選方式如下：
  （一）符合「待改善條件」者為待改善機關，若無機關符合，則待改善
        機關以從缺計。對於達待改善條件之機關，續按「評選項目」之
        評選順序依次比較，選取待改善機關前三名。
  （二）待改善機關評選流程如附圖二。
  （三）待改善機關評選標準及項目如附表。