五、本施行計畫之演練作業要點如下：
    （一）本部資通安全處理小組在本項演練作業中共分三組分工執行各
          項任務：應用系統組、設備網路組及使用稽核組。各組權責分
          工及組織架構如附圖一。
    （二）演練期間有關惡意郵件、惡意程式、攻擊工具、滲透破壞程度
          等，均需為可控制、有限度之滲透入侵，並由使用稽核組規劃
          執行。
    （三）由國家資通安全研究院協助提供電子郵件社交工程演練工具及
          惡意郵件範本（如附件一），郵件主題分為政治、公務、健康
          養生、休閒娛樂、情色等類型，郵件內容包含連結惡意網址或
          惡意附加檔案。
    （四）由本部資通安全處理小組以偽冒公務、個人或公司行號等名義
          發送惡意郵件給演練對象，當收件人開啟郵件或點閱郵件所附
          連結或檔案時，應留下紀錄，俾利後續統計惡意郵件開啟率及
          點閱率。
          1.惡意郵件開啟率：開啟惡意郵件之人數／參演人數。
          2.惡意郵件點閱率：點閱惡意郵件所附連結或檔案之人數／參
            演人數。

行政院國家資通安全會報技術服務中心於一百十二年一月一日改制為國家
資通安全研究院，修正第三款演練工具提供機關。

七、電子郵件社交工程演練結果處理如下：
    （一）本部資訊處於完成演練作業後，應檢討辦理情形及演練結果，
          並將演練情形報告彙整後，於每次演練完成後一個月內至數位
          發展部資通安全署資通安全作業管考系統填報。
    （二）本部及所屬機關（單位）演練未達基準者，應提出檢討及改善
          計畫（格式如附件二）。前開計畫，本部所屬機關應報部核定
          ；本部各單位應簽陳部次長核定，並將計畫影本副知本部資訊
          處；當年度兩次演練皆未達基準之待改善機關（單位），所屬
          機關取評比最末三名，本部各單位取評比最末一名，由機關首
          長（單位主管）至本部資通安全會報提報檢討及改善措施。
    （三）各機關（單位）對演練時開啟或點閱社交工程電子郵件人員，
          由首長（單位主管）予以口頭告誡，並強制要求參加至少一小
          時之補強教育訓練及測驗。當年度兩次演練均開啟及點閱演練
          郵件，且合計達三封（含）以上未改善者，得移送考績會議處
          。
    （四）各機關（單位）演練時開啟或點閱社交工程電子郵件人員如因
          故無法參加補強教育訓練者，應於一週內自行至相關公務人員
          數位學習平台網站完成相關課程，並經測驗合格後方算完成。
          未完成者停止其電子郵件之使用至完成為止。已參加補強教育
          訓練，但測驗仍不合格者比照辦理。
    （五）為鼓勵表現良好之機關，本部得視其歷年表現狀況及下列條件
          ，以每一績優機關敘獎人數不超過三人為原則，督導主管及主
          辦人員各記功一次、協辦人員敘嘉獎一至二次予以獎勵：
          1.該年度兩次演練，以有效電子郵件帳號數為基準，計算演練
            結果均合格者，依兩次演練之開啟率平均值由低至高及有效
            電子郵件帳號數由高至低排序，且近三年未曾因此項電子郵
            件社交工程演練績優敘獎者，取前三名為績優，將函請該機
            關對辦理本項演練有功人員予以敘獎鼓勵。
          2.為鼓勵維持防範電子郵件社交工程良好表現，機關連續三年
            開啟率及點閱率皆保持為零，列為績優機關，並予以敘獎鼓
            勵。

一、配合行政院簡化機關報送資通安全演練結果行政作業，修正演練情形
    報告之提報機關為數位發展部資通安全署及改採系統填報方式，修正
    第一款主管機關及報送方式。
二、考量各機關（單位）對演練時開啟或點閱社交工程電子郵件人員，已
    由首長（單位主管）予以口頭告誡，並強制要求參加至少一小時之補
    強教育訓練及測驗，本部及所屬機關人員大部分已具備資通安全知能
    ，為符合實務作業需求，爰刪除第三款演練成績未達基準之機關（單
    位）之相關規定。