一、依教育部113年2月29日臺教資通字第1132700735號函：教育部依資通安全事件通報及應變辦法第8條及臺灣學術網路管理規範相關規定辦理「113年度臺灣學術網路防範惡意電子郵件社交工程演練服務計畫」，透過實施演練作業提升教育體系人員針對社交工程攻擊之警覺性，並檢驗機關防範社交工程成效及透過後續持續改善降低社交工程風險。

二、上半年演練已開始進行，請各位主管及同仁們對不認識之寄件者的信件務必提高警覺，非公務信件最好刪除。如果開啟或點閱惡意郵件所附連結或檔案，將顯示警示訊息：「您好，本郵件為教育部電子郵件社交工程演練郵件，當您開啟時表示您的警覺性稍有不足....」。

三、演練計畫詳附件，內容摘要如下：

(一)受測人員包括學校正、副首長、各級主管(以單位公務之公開郵件帳號)及一般行政人員(個人公務郵件帳號)。

(二)演練時程：113年4-12月期間進行2次演練，上半年演練已開始進行。

(三)演練方式：教育部集中辦理，隨機選取100名(主管占35%以上)，每次演練作業，針對受測人員寄送5封社交工程演練郵件。

(四)演練目標：各次演練作業，各演練對象社交工程郵件開啟率應低於10%(含)，社交工程郵件點閱率應低於6%(含)。

(五)宣導課程分兩階段辦理：

1.第一階段（演練中）：針對所有行政人員，全面性實施教育訓練。本年度已於3月7日及3月13日各辦理一場實體及線上的教育練宣導課程。

2.第二階段（演練後）：針對測試成功之人員再次進行教育訓練加強宣導，以強化其警覺性。

(六)演練型態

1.由教育部資科司以偽冒公務、個人或公司行號等名義發送公務、個人或公司行號等名義發送惡意郵件給演練對象，郵件主題分為政治、公務、健康養生、旅遊等類型，郵件內容包含連結網址或WORD附加檔。

2.本項測試作業之測試信件寄件人名稱均為偽造，用來測試受測人對寄件人名稱是否合理的辨識能力。

(七)測試成功定義

1.開啟信件：信件透過預覽或點開方式開啟，且信件本文內所含圖片亦完成圖片下載之動作，始認定為誘騙成功。若郵件系統預設之安全設定為「不會自動下載圖片」，即使預覽功能設定為開啟，或直接打開測試信件，因無下載圖片之動作，不會造成安全漏洞，將不會記錄為測試成功。請注意，在各種郵件系統開信或轉寄至其他信箱(如:gmail、yahoo、hotmail等)都會被登錄為測試成功。

2.點選連結：點選信件內文中之連結網址，將被記錄為遭誘騙成功。請注意，即使在純文字模式下開啟信件不會觸發信件連結，可達到防止惡意信件的目的，但卻又將信件內文中的連結網址複製到瀏覽器中開啟，同樣會被記錄為測試成功。同封郵件內文如包含多個連結，受測人員不論點選幾個都將記錄為1次。

3.開啟附檔：開啟信件內文中之附檔，將被記錄為遭誘騙成功。同封郵件受測人員不論點選幾次附檔都將記錄為1次。

4.因將來路不明的危險信件轉寄給他人會造成更大傷害，故這類行為所導致之郵件開啟、連結點選及附檔點選將列入轉寄者之受測紀錄。

四、演練結果：

(一)由教育部資訊及科技教育司彙整及統計各次演練結果於作業完成後一個月內，將執行情形及成果報告送交主管機關行政院；演練成果報告之概要亦將函送各演練對象。

(二)各次演練作業結束後，對於演練成績不良者教育部將函請演練對象擬定改善措施。