依據行政院國家資通安全會報網站於109年11月24日公告之資通安全管理法常見問題(已改由數位發展部負責), 6.3說明有關「要求受託方具備完善的資通安全管理措施」或「通過第三方驗證」擇一即可。6.4進一步說明 「要求受託方具備完善的資通安全管理措施」,至少是遵行資通安全防護及控制措施之要求項目,並自行考量相關需求,納入招標評選項目。6.5更進一步建議 "完善" 管理措施也可以參考ISO 27001,並建議資安專職人員扮演統籌規劃角色。若要求受託方「通過第三方驗證」,6.6建議要查明廠商通過驗證範圍是否已涵蓋委外業務,並於招標文件敘明廠商仍應接受查核要求。
另外,6.9說明受託業務之執行程序及環境都在機關內就無須要求廠商具備前述兩項條件之一,但機關仍須針對採購進來的軟硬體採取必要的防護措施。
8.3特別說明PC維護案也屬於委外辦理資通服務,必須遵循前述要求辦理。
依據行政院秘書長110年7月13日院臺護長字第1100177483號函,要求各機關資通訊相關採購案,應參考公共工程委員會「投標須知範本」及「資訊服務採購契約範本」,落實「資訊服務採購案之資安檢核事項」相關要求。
行政院資通安全處111年5月26日院臺護字第1110174630號函,訂定資通系統籌獲需求、建置、維運各階段資安強化措施,說明委託機關依資通安全管理法施行細則第四條規定選任或監督受託者之相關行政流程及應注意事項。