依110年8月23日頒布之「資通安全責任等級分級辦法」修正條文明定如下：
(1)資通安全責任等級 A 級與B級之公務機關：
■初次受核定或等級變更後之一年內，完成資通安全弱點通報機制導入作業，並持續維運及依主管機關指定之方式提交資訊資產盤點資料。
■本辦法中華民國一百十年八月二十三日修正施行前已受核定者，應於修正施行後一年內，完成資通安全弱點通報機制導入作業，並持續維運及依主管機關指定之方式提交資訊資產盤點資料。
(2)資通安全責任等級 A 級與B級之特定非公務機關：
■關鍵基礎設施提供者初次受核定或等級變更後之一年內，完成資通安全弱點通報機制導入作業，並持續維運及依主管機關指定之方式提交資訊資產盤點資料。
■本辦法中華民國一百十年八月二十三日修正施行前已受核定者，應於修正施行後一年內，完成資通安全弱點通報機制導入作業，並持續維運及依主管機關指定之方式提交資訊資產盤點資料。
(3)資通安全責任等級 C 級之公務機關：
■初次受核定或等級變更後之二年內，完成資通安全弱點通報機制導入作業，並持續維運及依主管機關指定之方式提交資訊資產盤點資料。
■本辦法中華民國一百十年八月二十三日修正施行前已受核定者，應於修正施行後二年內，完成資通安全弱點通報機制導入作業，並持續維運及依主管機關指定之方式提交資訊資產盤點資料。
(4)資通安全責任等級 C 級之特定非公務機關：
■關鍵基礎設施提供者初次受核定或等級變更後之二年內，完成資通安全弱點通報機制導入作業，並持續維運及依主管機關指定之方式提交資訊資產盤點資料。
■本辦法中華民國一百十年八月二十三日修正施行前已受核定者，應於修正施行後二年內，完成資通安全弱點通報機制導入作業，並持續維運及依主管機關指定之方式提交資訊資產盤點資料。

(1)公務機關 VANS 導入範圍以全機關之資訊資產為原則，有關支持核心業務持續運作相關之資通系統主機與電腦應於規定時限內完成導入；關鍵基礎設施提供者 VANS 之導入範圍至少應涵蓋關鍵資訊基礎設施及營運持續運作必要相關資通系統。
(2)有關資訊資產上傳頻率，除重大弱點通報或大量資產異動外，建議每個月至少定期上傳 1次，機關如採系統化介接方式，可增加上傳頻率；並應針對發現弱點設定修補期限，未修補前應加強防護及異常偵測，以確保弱點管理之即時性及有效性。

VANS機制主要協助機關進行自我弱點管理，惟若爆發重大弱點時，將參考填復內容以了解機關處理方式與進度。

VANS系統不會記錄主機資訊，僅顯示全機關資產項目與對應之弱點。

VANS係以全機關資訊資產為範圍，隸屬於機關之資訊資產皆在盤點範圍內，若無AD環境，建議可採用第三方自動化工具執行盤點。

工控系統以能持續運作為首要目標，若VANS導入作業會影響相關系統運作，建議先評估是否導入。若導入，則自行開發之程式需盤點至VANS系統上進行資產管理。

資通安全弱點通報機制導入範圍係以全機關之資訊資產為原則，如囿於經費，可考量與核心業務之關聯性、資安風險程度及資訊資產重要性等，優先導入支持核心業務持續運作相關之資通系統主機與電腦。

因弱點掃描與VANS弱點比對之標的、方式、範圍均不同，兩者有互補效果，建議仍需進行資產盤點與風險比對。

執行資訊資產盤點作業後所產出之資訊資產清冊中，內容包含各軟體資產對應之主機資訊，可藉由弱點對應軟體資產，再由軟體資產對應主機資訊之方式，找出含有該弱點之主機。

建議分開盤點與產製資訊資產清冊，以利辨別弱點隸屬與後續修補作業。

若將資產與主機對應資訊一併上傳至VANS系統，資訊恐過於敏感，故規劃採分層式管理，VANS系統中不會記錄主機資訊。

VANS係以全機關資訊資產為範圍，故內網或外點單位資訊資產亦須盤點並上傳至VANS系統。

若有網域環境，建議可透過派送的方式進行盤點，盤點後再一次性地進行彙整。若非網域環境，建議可透過各區的負責人，定期進行盤點後再統一彙整。

可以。機關盤點資通系統或網站上所使用之第三方元件，並對應至CPE條目後，亦可上傳至VANS系統進行弱點比對。

公務機關VANS導入範圍以全機關之資訊資產為原則，關鍵基礎設施提供者VANS之導入範圍至少應涵蓋關鍵資訊基礎設施及營運持續運作必要相關資通系統，因此未比對到CPE條目之資產仍需上傳至VANS系統。

(1)若機關已完整安裝安全性更新(KBID)，大多數弱點可視為已完成修補，少數非透過安全性更新修復之弱點，建議參考微軟官方所提供之緩解措施進行處理。
(2)可透過VANS系統安全性更新(KBID)與弱點(CVE)關聯分析功能，查看尚待修補之弱點。

(1)請至資安人員身分驗證(iAuth)系統申請VANS系統機關管理者帳號。
(2)請填寫「附表-資通安全弱點通報系統(VANS系統)機關管理者帳號申請(異動)單」，表單核章後，請掃描並以電子郵件方式向數位發展部資通安全署申請，開通完成將以電子郵件寄發通知。

一個機關最多可申請2個機關管理者帳號。

(1)請以申請iAuth帳號時所使用之信箱，寄信至資安院VANS服務信箱(VansService@nics.nat.gov.tw)，包含以下資訊：
■郵件主旨：請註明「欲重新啟用iAuth帳號並申請為VANS系統機關管理者」。
■郵件內容：請提供「機關名稱」、「iAuth帳號名稱」、「人員姓名」及「聯絡電話」等資訊，以利進行身分核對。
(2)待iAuth帳號重新啟用後，請依VANS系統帳號申請流程進行申請。

若於iAuth系統上申請VANS系統機關管理者帳號，但未於10個工作天內提供「附表-資通安全弱點通報系統(VANS系統)機關管理者帳號申請(異動)單」予數位部資安署，將寄發補件通知信提醒機關儘快提出申請單，否則將於5個工作天後取消該帳號之權限申請。

請填寫「資通安全弱點通報系統(VANS系統)API介接申請(異動)單」，表單核章後，請掃描並以電子郵件方式向數位部資安署申請，開通完成將以電子郵件寄發通知並提供API傳輸方式、API介接格式及VANS系統對外IP等相關資訊。

(1)基於安全性考量，超過180天未登入iAuth系統之帳號將被鎖定，使得登入VANS系統時將顯示該帳號已被停用。
(2)遇此狀況時，請寄信至VANS服務信箱(VansService@nics.nat.gov.tw)，確認使用者身分後將協助恢復帳號權限。

請填寫「資通安全弱點通報系統(VANS系統)機關管理者帳號申請(異動)單」並核章後，提交數位部資安署審查，審核過後由資安院協助進行後續處理。

機關可依據自身ISMS政策評估該弱點對機關可能產生之影響，採取因應措施，並將實際修補情況填寫至VANS系統之改善措施欄位中。

可參考原廠緩解措施降低弱點可能造成之危害，並及早規劃與替換已停止支援之軟體。

(1)可以。主管機關上傳資料時，可於上傳清單中填寫所屬機關OID、機關名稱欄位，即可代所屬機關上傳資訊資產或已安裝KBID至VANS系統。
(2)因實際進行API傳輸者為主管機關，故僅需由主管機關申請API介接IP即可。

上傳清單檔名可自行命名，但檔案內的欄位順序須一致，否則系統無法解析。

建議負責管理伺服器主機與使用者電腦之各負責人皆可申請VANS一般使用者帳號，即可進入系統更新資產與填寫弱點改善措施，或以機關為單位，指派專人彙整資料並登入VANS系統填寫弱點改善措施。

在VANS系統中，除下列2項差異外，其餘權限皆相同：
(1)機關管理者帳號可重新產生API KEY，但一般使用者帳號僅可查看API KEY。
(2)機關管理者帳號可查看機關內各帳號的資產異動歷程記錄，但一般使用者帳號僅可查看自身資產異動歷程記錄。

弱點比對通知功能列表顯示的是「弱點種類數量」，因此若此則通知內包含重複的CVE編號，則僅會算1個。

弱點清單若僅填寫部份弱點項目之改善措施，並移除未填寫之項目後，重新上傳至系統時，系統只會針對有填寫改善措施的部分進行覆蓋。

(1)請至資安人員身分驗證(iAuth)系統，於「個人帳號管理-->權限異動申請」功能中，確認所登入之帳號是否已具備VANS系統一般權限。
(2)若尚未具有一般權限，請參閱「資通安全弱點通報系統(VANS系統)帳號申請說明文件」之2.5節，針對該帳號提出一般權限申請。

兩者功能相同，主要依據盤點對象分為「資通系統」與「使用者電腦」，以方便機關區分與管理。

(1)當機關收到由VANS系統寄發之「資訊資產清單解析完成」通知信時，即表示資產已上傳成功。
(2)當機關收到由VANS系統寄發之「資產風險項目比對完成」通知信時，即表示弱點比對已完成，依據上傳資產與弱點數量多寡，弱點比對約需1~3天。

請至VANS系統「設定管理 > 資產管理API設定」產生專屬之API KEY。

VANS系統具有主管機關代所屬機關上傳CPE資產之功能，主管機關使用同一套工具取得所屬機關之資產內容後， 可透過「主管機關API KEY」+「所屬機關OID」+「所屬機關資產」方式代為上傳，即可在系統上查看該所屬機關之資產與弱點內容。惟請留意， 上傳前務必確認「所屬機關OID」正確性，以免所屬機關資產蓋掉主管機關資產。

(1)系統會透過覆蓋方式處理，僅留存最後一次上傳之資產。
(2)透過API上傳之資產同樣以覆蓋方式處理，僅留存最後一次上傳之資產。
(3)重新上傳後，系統會依據新上傳之資產進行弱點比對。若已填寫改善措施之弱點項目未變動，則改善措施仍會存在。
(4)資產清單上傳後，為避免重覆進行上傳動作，故VANS系統之弱點比對完成前，會暫時停用「資產清單上傳」或「已安裝KBID清單上傳」功能，待收到「弱點比對完成」通知信後方可執行下一次上傳。

常見格式欄位目的為便於使用者查看與辨識資產，CPE格式則供VANS系統進行自動化弱點比對使用。

當有CVE弱點發生時，NVD將針對受影響之軟體資產編列CPE條目，並將當前可用之版本預編對應之CPE條目，因此可能出現部分版本無對應弱點之情況。

該欄位主要提供機關管理弱點之用，若遇到未能即時更新軟體版本或經評估後欲接受風險時，可透過填寫改善措施功能記錄弱點處理進度。

VANS系統已有考量KB取代關係，請點擊CVE弱點之「查看修補KBID」欄位，彈出清單內容即顯示可修補此弱點之所有KB編號。

VANS系統係呈現機關整體資產與弱點資訊，未對應至個別電腦，當不同電腦缺漏相同之安全性更新檔時，系統會以機關整體數量資訊(已安裝之安全性更新數量/應安裝之安全性更新數量)呈現。

可於VANS系統下載資訊資產清單，移除多餘資料後重新上傳，即可達到大量刪除資產資料之目的。

1.同一項資產的同一個弱點只會於首次比對到時進行1次通知，之後不會再出現相同之弱點通知。
2.可於「設定管理-->通知設定」頁面確認以下幾項設定是否設定完成：
(1)已開啟弱點通知功能
(2)已設定接收弱點通知之電子郵件地址
(3)資產風險列表的弱點CVSS分數高於弱點通知分數門檻

可至資訊資產風險列表中，查看各資產「詳細資訊」之「修補KBID」欄位，該數字代表該CVE弱點之「已安裝KBID數量/應安裝KBID數量」，若已安裝KBID數量小於應安裝KBID數量，則表示該弱點尚未修補。

請依序確認下列設定：
(1)請確認「設定管理」→「弱點通知之電子郵件設定」是否已經正確設定電子郵件
(2)請確認「設定管理」→「通知設定」是否開啟(紅框處必須為「ON」狀態)

排除步驟建議如下：
(1)自VANS系統下載最新版本「完整軟體資產CPE清單」。

(2)依據錯誤訊息找到對應之CPE條目，確認是否可於「完整軟體資產CPE清單」找到完全相同之「CPE2.3」與「CPE完整名稱」。
→有找到相同「CPE2.3」與「CPE完整名稱」時，應為正確之CPE條目。若仍無法上傳請透過VANS服務信箱(VansService@nccst.nat.gov.tw)反映。
→未找到相同「CPE2.3」與「CPE完整名稱」時，應為錯誤之CPE條目，無法上傳至VANS系統。請依下列步驟(2.1)~(2.4)至NVD官網確認該CPE條目是否已遭取代。
(2.1)至NVD官網(https://nvd.nist.gov/products/cpe/search)查詢該CPE條目，並確認勾選「Include deprecated CPEs」。

(2.2)搜尋後，點選欲查找之CPE條目。

(2.3)依據頁面資訊確認該CPE條目是否已遭取代。

(2.4)請點選「新的CPE條目」以查看「新的CPE2.3」與「新的CPE完整名稱」，並更新至上傳清單，即可重新上傳至VANS系統。

排除步驟建議如下：
(1)欲檢視所屬機關的資訊資產，可於「資訊資產管理」→「資通/使用者電腦資產列表」右上角選單選擇所屬機關。

(2)欲代傳所屬機關的資訊資產，可於「資訊資產管理」→「資通/使用者電腦資產列表」右上角選單選擇所屬機關，於「資產/已安裝KBID上傳」進行上傳作業。

(3)欲檢視所屬機關的資產風險，可於「資產風險狀態」→「資通/使用者電腦風險狀態」→「資訊資產風險列表」右上角選單選擇所屬機關。

(4)欲代所屬機關的改善措施，可於「資產風險狀態」→「資通/使用者電腦風險狀態」→「資訊資產風險列表」右上角選單選擇所屬機關，於「上傳弱點改善措施」進行上傳作業。

建議可參考共契所列之支援廠商名單。
廠商名單查詢：經濟部工業局軟體採購辦公室

共契廠商與VANS系統進行介接流程分為3個階段：
(1)評估階段：共契廠商必須滿足下列條件，
■廠商不含陸資
■欲介接之產品已納入共同供應契約電腦軟體採購項目
■欲介接之產品已具備作業系統與軟體資產管理功能
■滿足以上條件者，請寄信至資安院VANS服務信箱(VansService@nics.nat.gov.tw)提出介接申請，等待資安院回覆資格評估結果。

(2)介接階段：通過資格評估後進行以下流程，
■參與介接說明會議
■申請VANS測試站帳號
■系統功能開發與介接測試

(3)測試階段：完成功能開發後進行以下流程，
■提供介接測試檔予技服中心確認檔案格式正確性
■執行CPE轉換正確率測試
■通過測試者提供共契標案資訊予資通安全研究院

(1)因Windows作業系統更新彙總套件已包含先前的安全性更新項目，因此不需要再額外安裝個別安全性更新。
(2)惟Microsoft Office、.NET Framework及Microsoft Silverlight等產品之更新未涵蓋於Windows作業系統更新彙總套件中，故仍需個別安裝。

(1)NVD會不定時更新CPE條目，因此進行正規化作業時，請確保使用最新版完整CPE清單進行比對。
(2)已上傳至VANS系統之資訊資產CPE條目有更新時，使用者登入系統後會提示是否以更新的CPE條目取代舊有的。