5.1.1.本校進行委外規劃時,針對委外業務項目進行風險評估,包含可能影響資產、流程、作業環境或特殊對機關之威脅等,並遵循本管理辦法提出適當之安全需求。但若因成本、時效、委外服務之特性或委外廠商之局限性等相關因素之考量,而致所規範之安全需求或新增之安全需求無法完全適用時,應於建立委外安全需求作業時以簽呈方式,說明不適用之項目,提報權責主管核准。
5.1.2.採購流程須依據政府機關相關採購規範辦理。徵求建議書說明文件(RFP)應含資訊安全與個人資料管理相關需求規定,以符合本校資訊安全與個人資料管理作業之要求。承辦人員應以「資通系統或服務委外受託者查檢表」檢核所選任廠商是否已達資通安全管理法施行細則之委外基本要求。
5.1.3.委外廠商簽訂資訊委外作業服務契約或合約時,應明訂委外作業服務需求、服務水準、服務提供方式、品質保證、變更管理、安全保密、稽核作業、智慧財產權、資通安全管理與個人資料保護等法規遵循、驗收程序方法、爭議與違約處理及其他雙方權利義務等主要項目。
5.1.4.為確保安全性與可靠性,應於合約中明訂下列事項:
5.1.4.1.作業時如發生錯誤或資料漏失,經確認屬得標廠商責任者,應由得標廠商負責更正;另損及他人權利義務,得標廠商亦須負責。
5.1.4.2.得標廠商對業務上所接觸之資料,應視同機密文件採必要之保密措施,得標廠商及人員均應依本校規定填具「委外廠商保密切結書」,任何因得標廠商人員洩密所致之賠償及刑事責任,概由得標廠商負責,並列入本校拒絕往來戶。
5.1.4.3.委外關係終止或解除時,委外廠商返還、移交、刪除或銷毀持有資料。
5.2.1.委外廠商專案計畫主持人或重要成員(如專案經理、專案工程師、專案服務人員等)非經本校同意,不得更換。
5.2.2.委外廠商之合作或協力廠商皆應併同遵循法律要求及本校資訊安全與個人資料管理規定。
5.2.3.資通系統開發測試階段需完成「弱點掃描」,高級系統應執行「源碼掃描」及「滲透測試」。委外開發資通系統金額超過1,000萬元,就應由本校自行或另行委託第三方進行安全檢測。
5.2.4.委外廠商執行受託業務,違反資通安全相關法令或知悉資通安全事件時,應立即通知本校及採行之補救措施。
5.2.5.委外人員進出本校辦公區域或電腦機房區域,以及攜出入資訊設備時,均應依據「實體環境安全管理辦法」辦理。委外廠商於外部對本校進行遠端存取維護時,依據「資訊安全存取管理辦法」及「網路安全管理辦法」辦理。其他應遵守政府及本校資訊安全與個人資料保護相關法令規定,若違反時(如電腦洩密、盜取個人資料…等),依契約及相關法令辦理。
5.2.6.重要系統之委外廠商應訂定緊急應變與回復標準程序,以確保本校資訊業務之持續運作。
5.2.7.委外廠商須配合本校進行資訊安全與個人資料管理稽核。
5.3.1.委外廠商宜於執行之初完成「委外廠商資訊安全自評表」,若能進一步提供完整之工作說明書或專案管理計畫書,內容宜包含專案目標、範圍、時程、組織、管理機制、服務水準、變更要求等。
5.3.2.委外廠商於本校執行業務時,應於本校所指定之作業地點執行,定期提報人員安全、媒體保護管控、使用者識別及鑑別、組態管控等相關紀錄。
5.3.3.若系統為開發或維護,委外廠商需填寫本校「系統開發與維護安全檢核表」,並且協助系統管理人員填寫本校「資通系統安全等級評估表」,若防護基準中有不符合及部分符合的項目,須如同文件的實施方式參考建議,於本校「弱點處理報告單」中具體說明修補程度。
5.3.4.委外廠商交付弱點掃描報告之規定如下:
1) 申請本校RAPID7主機弱點掃描或本校認可之主機弱點掃描。
2) 申請本校學EVS網頁弱掃或本校認可之網頁弱點掃描。
若弱點掃描結果出現不符合,須參照弱點掃描報告之建議,於本校「弱點處理報告單」中提出具體改善措施。
5.3.5.委外專案執行過程發現專案執行效益不彰、政令變更或是委外廠商無法履行合約等不利專案繼續執行之因素時,如專案需暫停或取消,系統承辦人須以行政程序辦理專案暫停或取消,並以公文會辦相關單位辦理。
5.3.6.委外廠商應依本辦法交付以下資安文件,委外承辦人員應妥善保管。
1) 保密切結書
2) 委外廠商資訊安全自評表
3) 電腦機房門禁卡使用登記表
4) 機房設備進/出申請表
5) 遠端連線申請單
6) 資通系統安全等級評估表
7) 系統開發與維護安全檢核表
8) 弱點掃描結果報告
9) 弱點處理報告單