負責資通系統或服務委外的承辦人必須要求委外廠商落實資安管理,自己就必須對於相關資安規範有充分了解與掌握,才可以監督及驗收廠商所交付的資通系統或服務。而為此我們準備了一套專業課程,授課內容包含下列四大構面:
1.資通安全法規遵循
2.委外辦理之管理措施
3.資通系統防護基準
4.安全系統發展生命週期
資通安全管理法及相關子法與委外相關條文讓我們為大家一一釐清
1.資通安全管理法
2.資通安全管理法施行細則
3.資通安全責任等級分級辦法
4.資通安全管理法常見問題
5.各機關對危害國家資通安全產品限制使用原則
6.行政院及所屬各機關行動化服務發展作業原則
7.資通安全事件通報及應變辦法
依據「資通安全實地稽核檢核項目」第5構面檢視委外管理措施之落實程度
(左側為機關應落實項目、右側是委外廠商應被要求落實項目)
依據「資通安全實地稽核檢核項目」第7構面檢視資通系統防護之落實程度
(訂出資通系統之防護需求為普|中|高等級、委外廠商應被要求落實並提出證明)
依據「資通安全實地稽核檢核項目」第8構面檢視SSDLC(Secure Software Development Life Cycle)之落實程度
(以 "新系統" 或 "有影響安全性之系統改版" 要求委外廠商應落實並提出證明)
教育機構資安驗證中心於2009年成立,為教育部授權之資安驗證單位,負責執行並落實教育機構資訊安全管理作業之驗證制度,並配合教育部資安管理與驗證政策規劃。2015年由國立中興大學計算機及資訊網路中心接手執行驗證中心業務,2016年針對ISO27001 : 2013轉版內容及考量我國個人資料保護法之修正與施行,修訂完成新版「教育體系資通安全暨個人資料管理規範」。2020年開始協助教育部依「資通安全管理法」規定進行資通安全稽核作業,以提升教育部所屬機關構、學校強化資安防護工作完整性及有效性。
依據資安法常見問題3.16說明:資通安全通識教育訓練與資通安全專業課程訓練性質及目的不同,爰資通安全專業課程訓練時數不可抵資通安全通識教育訓練時數。
依據資安法常見問題3.15說明:資通安全專業課程訓練原則應優先以實體課程方式進行,惟為因應機關特定需求,符合下列各項條件者,同意採線上課程方式取得資通安全專業課程訓練時數,惟每人每年認定上限為6小時:
(一)課程須上架至數位學習資源整合平臺「e等公務園+學習平臺」。
(二)課程內容須定期更新,課後須辦理評量,且評量內容應涵蓋授課範圍、具辨識度且定期調整。
(三)線上課程應提供「問題提問或諮詢」機制,其方式不拘。
依據資安法常見問題3.15說明:資通安全專業課程訓練係指可對應資安職能訓練發展藍圖中策略面、管理面、技術面之專業課程為原則,其相關時數,可透過以下方式取得:
(一)參加主管機關舉辦政府資通安全防護巡迴研討會,或所開設之資通安全策略、管理、技術相關課程、講習、訓練及研討(習)會。
(二)參加資通安全專業證照清單上所列之訓練課程。
(三)參加公私營訓練機構所開設或受委託辦理之資通安全策略、管理或技術訓練課程。訓練機構以下列型態為限:1.公私立大專校院。2.依法設立2年以上之職業訓練機構。3.依法設立2年以上之短期補習班。4.依法設立2年以上之學術研究機構或財團法人,其設立章程宗旨與資通安全人才培訓相關,且有辦理資通安全人才培訓業務。
簡報P.10-22,圖片超連結到本中心公開二階文件參考修訂:資訊作業委外安全管理辦法。
簡報P.55、57、65、73提供超連結到中興大學的做法(重點條文及表單文件),酌予參考。
從資安法實地稽核項目來看,首先是5.11:對委外廠商執行受託業務之資安行為進行檢視?其時機及做法為何?針對查核發現,建立後續追蹤及管理機制?其次是5.13:委外廠商專案成員進出機關範圍被限制?對於委外廠商駐點人員使用資訊設備 (個人、筆記型、平板電腦、行動電話及智慧卡等) 建立相關安全管控措施?定期檢視並分析資訊作業委外之人員安全、媒體保護管控、使用者識別及鑑別、組態管控等相關紀錄?請參閱簡報P.79-83。
首先,委外案的「資安需求」應該有這樣的文字:本專案之系統開發或維運,必須依據本機關對該系統訂定等級(普/中/高),完成「資通安全責任等級分級辦法」附表十「資通系統防護基準」之該等級全部適用項目要求。
委外承辦人員不一定要深入了解資通系統防護基準各項措施,可要求廠商自行參閱簡報P.84-85提及的另兩份簡報,更多資訊則詳閱資通安全法合規研究與管理實務指引第8章。
另外,參考我們在社群上跟大家分享的觀點:
最近我們剛辦完「資通系統委外承辦人員教育訓練」,最常被問到的問題就是:
➡️ 那我到底要怎麼跟廠商說明資安要求?
➡️ 資安又不是我們IT的專業,怎麼知道要看什麼?
其實你不是一個人,很多人都有一樣的煩惱。
我也常常聽到廠商私下說:「啊我們寫程式的,又沒人教我們怎麼補資安那些東西⋯⋯」
但偏偏現在接標案,資安真的不能當作附加條件看待。
不是沒做就算了,而是沒做到會直接被刷掉。
所以我想用最白話的方式,來說清楚四個廠商/承辦都該懂的重點:
1️⃣ 資通安全法規遵循:不是選項,而是契約條款
.公部門依法有責任監督廠商的資安表現。
.如未遵守《資通安全管理法》及相關子法(例如「事件通報辦法」),可能造成契約違約或招標失分。
.廠商若能主動展現對法規的了解與配合,能提升政府單位的信賴感,成為長期合作夥伴。
🛠 廠商觀點補強:
這就像是一場比賽中,先看你有沒有合格證照。若沒跟上這一門基本語言,將直接被淘汰。
2️⃣ 委外辦理之管理措施:您也是資安的一環
.政府會要求廠商簽署保密協定、配合資安稽核、遵循資訊安全政策等。
.這些管理機制的落實,仰賴廠商在工作流程中真正理解並內化配合。
🛠 廠商觀點補強:
與其臨時被要求配合審查、補文件,不如提前建好標準作業流程(SOP),讓配合機關查得快、寫得順、標也得得穩。
3️⃣ 資通系統防護基準:建系統也要看「防守力」
.政府會依系統重要性分類(如普、中、高)要求不同的資安防護措施。
.廠商需配合執行弱點掃描、滲透測試、存取權限管控等措施。
🛠 廠商觀點補強:
懂防護基準,就能在提案階段準確估算成本、避開後期補工補測的風險,更容易被視為「懂資安、可信任」的廠商。
4️⃣ SSDLC(安全系統開發生命週期):資安是開發的基本設計,而不是事後補丁
.政府專案越來越重視 SSDLC,也會在招標文件中要求其納入。
.廠商若從需求階段就納入資安設計(如安全需求、威脅建模、靜態程式碼分析等),可大幅減少事後漏洞修補風險。
🛠 廠商觀點補強:
如果您團隊能實踐 SSDLC,就能做到「邊開發、邊防守」,不只是寫程式,而是提供「可信賴的解決方案」。
✅ 總結:從被要求配合,到成為資安加分者
資安不是額外的負擔,而是中標與履約的「隱形分數」。當您理解四大構面的意義,就能:
.提前滿足政府資安要求,降低履約風險
.讓招標文件與簡報更有說服力,增加得標機會
.建立可靠形象,成為長期合作的首選廠商