依據資安法常見問題3.16說明：資通安全通識教育訓練與資通安全專業課程訓練性質及目的不同，爰資通安全專業課程訓練時數不可抵資通安全通識教育訓練時數。

依據資安法常見問題3.15說明：資通安全專業課程訓練原則應優先以實體課程方式進行，惟為因應機關特定需求，符合下列各項條件者，同意採線上課程方式取得資通安全專業課程訓練時數，惟每人每年認定上限為6小時：

(一)課程須上架至數位學習資源整合平臺「e等公務園+學習平臺」。

(二)課程內容須定期更新，課後須辦理評量，且評量內容應涵蓋授課範圍、具辨識度且定期調整。

(三)線上課程應提供「問題提問或諮詢」機制，其方式不拘。

依據資安法常見問題3.15說明：資通安全專業課程訓練係指可對應資安職能訓練發展藍圖中策略面、管理面、技術面之專業課程為原則，其相關時數，可透過以下方式取得：

(一)參加主管機關舉辦政府資通安全防護巡迴研討會，或所開設之資通安全策略、管理、技術相關課程、講習、訓練及研討（習）會。

(二)參加資通安全專業證照清單上所列之訓練課程。

(三)參加公私營訓練機構所開設或受委託辦理之資通安全策略、管理或技術訓練課程。訓練機構以下列型態為限：1.公私立大專校院。2.依法設立2年以上之職業訓練機構。3.依法設立2年以上之短期補習班。4.依法設立2年以上之學術研究機構或財團法人，其設立章程宗旨與資通安全人才培訓相關，且有辦理資通安全人才培訓業務。

簡報P.10-22，圖片超連結到本中心公開二階文件參考修訂：資訊作業委外安全管理辦法。

簡報P.4、90、92、98，已列出委外承辦人應注意的資安專章指標。

簡報P.55、57、65、73提供超連結到中興大學的做法(重點條文及表單文件)，酌予參考。

從資安法實地稽核項目來看，首先是5.11：對委外廠商執行受託業務之資安行為進行檢視？其時機及做法為何？針對查核發現，建立後續追蹤及管理機制？其次是5.13：委外廠商專案成員進出機關範圍被限制？對於委外廠商駐點人員使用資訊設備 (個人、筆記型、平板電腦、行動電話及智慧卡等) 建立相關安全管控措施？定期檢視並分析資訊作業委外之人員安全、媒體保護管控、使用者識別及鑑別、組態管控等相關紀錄？請參閱簡報P.79-83。

首先，委外案的「資安需求」應該有這樣的文字：本專案之系統開發或維運，必須依據本機關對該系統訂定等級(普/中/高)，完成「資通安全責任等級分級辦法」附表十「資通系統防護基準」之該等級全部適用項目要求。

委外承辦人員不一定要深入了解資通系統防護基準各項措施，可要求廠商自行參閱簡報P.84-85提及的另兩份簡報，更多資訊則詳閱資通安全法合規研究與管理實務指引第8章。

另外，參考我們在社群上跟大家分享的觀點：

最近我們剛辦完「資通系統委外承辦人員教育訓練」，最常被問到的問題就是：

➡️ 那我到底要怎麼跟廠商說明資安要求？

➡️ 資安又不是我們IT的專業，怎麼知道要看什麼？

其實你不是一個人，很多人都有一樣的煩惱。

我也常常聽到廠商私下說：「啊我們寫程式的，又沒人教我們怎麼補資安那些東西⋯⋯」

但偏偏現在接標案，資安真的不能當作附加條件看待。

不是沒做就算了，而是沒做到會直接被刷掉。

所以我想用最白話的方式，來說清楚四個廠商/承辦都該懂的重點：

1️⃣ 資通安全法規遵循：不是選項，而是契約條款

．公部門依法有責任監督廠商的資安表現。

．如未遵守《資通安全管理法》及相關子法（例如「事件通報辦法」），可能造成契約違約或招標失分。

．廠商若能主動展現對法規的了解與配合，能提升政府單位的信賴感，成為長期合作夥伴。

🛠 廠商觀點補強：

這就像是一場比賽中，先看你有沒有合格證照。若沒跟上這一門基本語言，將直接被淘汰。

2️⃣ 委外辦理之管理措施：您也是資安的一環

．政府會要求廠商簽署保密協定、配合資安稽核、遵循資訊安全政策等。

．這些管理機制的落實，仰賴廠商在工作流程中真正理解並內化配合。

🛠 廠商觀點補強：

與其臨時被要求配合審查、補文件，不如提前建好標準作業流程（SOP），讓配合機關查得快、寫得順、標也得得穩。

3️⃣ 資通系統防護基準：建系統也要看「防守力」

．政府會依系統重要性分類（如普、中、高）要求不同的資安防護措施。

．廠商需配合執行弱點掃描、滲透測試、存取權限管控等措施。

🛠 廠商觀點補強：

懂防護基準，就能在提案階段準確估算成本、避開後期補工補測的風險，更容易被視為「懂資安、可信任」的廠商。

4️⃣ SSDLC（安全系統開發生命週期）：資安是開發的基本設計，而不是事後補丁

．政府專案越來越重視 SSDLC，也會在招標文件中要求其納入。

．廠商若從需求階段就納入資安設計（如安全需求、威脅建模、靜態程式碼分析等），可大幅減少事後漏洞修補風險。

🛠 廠商觀點補強：

如果您團隊能實踐 SSDLC，就能做到「邊開發、邊防守」，不只是寫程式，而是提供「可信賴的解決方案」。

✅ 總結：從被要求配合，到成為資安加分者

資安不是額外的負擔，而是中標與履約的「隱形分數」。當您理解四大構面的意義，就能：

．提前滿足政府資安要求，降低履約風險

．讓招標文件與簡報更有說服力，增加得標機會

．建立可靠形象，成為長期合作的首選廠商