一、為提高法務部（以下簡稱本部）及所屬機關人員資安警覺性以降低電
    子郵件社交工程攻擊風險，規範電子郵件社交工程防制年度目標、舉
    辦相關資安教育訓練及宣導、規劃辦理演練作業，以強化人員資安意
    識並檢驗各機關宣導電子郵件社交工程防制成效，特訂定本施行計畫
    。

二、本施行計畫演練時間係採無預警不定期方式，每半年辦理一次電子郵
    件社交工程演練。

三、參與電子郵件社交工程演練之機關為本部及所屬機關，各機關參與演
    練人數為具有公務電子郵件人數之四分之一以上。

四、本施行計畫之教育訓練要點如下：
    （一）依行政院函頒之「資通安全責任等級分級辦法」，各機關應按
          其資安等級，每年定期舉辦資安教育訓練。
    （二）資安教育訓練應納入電子郵件社交工程防制有關之認知宣導，
          並著重攻擊實例說明。
    （三）強制要求本部及所屬機關個人電腦之電子郵件軟體，關閉郵件
          自動預覽功能，並將郵件設定為純文字閱覽模式，可在第一時
          間讓使用者再次確認該封郵件是否為社交工程電子郵件，避免
          誤點閱該郵件。
    （四）每人每年至少接受一小時之「防範電子郵件社交工程」教育訓
          練（含在每人每年三小時資安教育訓練課程內），課程結束後
          需通過測驗方核給時數。

五、本施行計畫之演練作業要點如下：
    （一）本部資通安全處理小組在本項演練作業中共分三組分工執行各
          項任務：應用系統組、設備網路組及使用稽核組。各組權責分
          工及組織架構如附圖一。
    （二）演練期間有關惡意郵件、惡意程式、攻擊工具、滲透破壞程度
          等，均需為可控制、有限度之滲透入侵，並由使用稽核組規劃
          執行。
    （三）由國家資通安全研究院協助提供電子郵件社交工程演練工具及
          惡意郵件範本（如附件一），郵件主題分為政治、公務、健康
          養生、休閒娛樂、情色等類型，郵件內容包含連結惡意網址或
          惡意附加檔案。
    （四）由本部資通安全處理小組以偽冒公務、個人或公司行號等名義
          發送惡意郵件給演練對象，當收件人開啟郵件或點閱郵件所附
          連結或檔案時，應留下紀錄，俾利後續統計惡意郵件開啟率及
          點閱率。
          1.惡意郵件開啟率：開啟惡意郵件之人數／參演人數。
          2.惡意郵件點閱率：點閱惡意郵件所附連結或檔案之人數／參
            演人數。

行政院國家資通安全會報技術服務中心於一百十二年一月一日改制為國家
資通安全研究院，修正第三款演練工具提供機關。

六、電子郵件社交工程年度演練基準，依本部資通安全會報會議決議之開
    啟率、點閱率定之。

七、電子郵件社交工程演練結果處理如下：
    （一）本部資訊處於完成演練作業後，應檢討辦理情形及演練結果，
          並將演練情形報告彙整後，於每次演練完成後一個月內至數位
          發展部資通安全署資通安全作業管考系統填報。
    （二）本部及所屬機關（單位）演練未達基準者，應提出檢討及改善
          計畫（格式如附件二）。前開計畫，本部所屬機關應報部核定
          ；本部各單位應簽陳部次長核定，並將計畫影本副知本部資訊
          處；當年度兩次演練皆未達基準之待改善機關（單位），所屬
          機關取評比最末三名，本部各單位取評比最末一名，由機關首
          長（單位主管）至本部資通安全會報提報檢討及改善措施。
    （三）各機關（單位）對演練時開啟或點閱社交工程電子郵件人員，
          由首長（單位主管）予以口頭告誡，並強制要求參加至少一小
          時之補強教育訓練及測驗。當年度兩次演練均開啟及點閱演練
          郵件，且合計達三封（含）以上未改善者，得移送考績會議處
          。
    （四）各機關（單位）演練時開啟或點閱社交工程電子郵件人員如因
          故無法參加補強教育訓練者，應於一週內自行至相關公務人員
          數位學習平台網站完成相關課程，並經測驗合格後方算完成。
          未完成者停止其電子郵件之使用至完成為止。已參加補強教育
          訓練，但測驗仍不合格者比照辦理。
    （五）為鼓勵表現良好之機關，本部得視其歷年表現狀況及下列條件
          ，以每一績優機關敘獎人數不超過三人為原則，督導主管及主
          辦人員各記功一次、協辦人員敘嘉獎一至二次予以獎勵：
          1.該年度兩次演練，以有效電子郵件帳號數為基準，計算演練
            結果均合格者，依兩次演練之開啟率平均值由低至高及有效
            電子郵件帳號數由高至低排序，且近三年未曾因此項電子郵
            件社交工程演練績優敘獎者，取前三名為績優，將函請該機
            關對辦理本項演練有功人員予以敘獎鼓勵。
          2.為鼓勵維持防範電子郵件社交工程良好表現，機關連續三年
            開啟率及點閱率皆保持為零，列為績優機關，並予以敘獎鼓
            勵。

一、配合行政院簡化機關報送資通安全演練結果行政作業，修正演練情形
    報告之提報機關為數位發展部資通安全署及改採系統填報方式，修正
    第一款主管機關及報送方式。
二、考量各機關（單位）對演練時開啟或點閱社交工程電子郵件人員，已
    由首長（單位主管）予以口頭告誡，並強制要求參加至少一小時之補
    強教育訓練及測驗，本部及所屬機關人員大部分已具備資通安全知能
    ，為符合實務作業需求，爰刪除第三款演練成績未達基準之機關（單
    位）之相關規定。

八、本施行計畫第七點第二款「待改善機關」評選方式如下：
    （一）符合「待改善條件」者為待改善機關，若無機關符合，則待改
          善機關以從缺計。對於達待改善條件之機關，續按「評選項目
          」之評選順序依次比較，選取待改善機關前三名。
    （二）待改善機關評選流程如附圖二。
    （三）待改善機關評選標準及項目如附表。