資通安全規定

於契約、合約書或規格需求中，明訂：

• 「乙方須遵守附件一之保密規定」 

• 「乙方須遵守附件二之資通安全規定」

附件一：保密規定

• 依據業務性質不同，保密規定就不同。

• 如果本次網站系統需求內容涉及個人資料、機敏資料等，建議必須與廠商明訂保密規定。

附件二：資通安全規定

依據資通安全責任等級分級辦法，附表十資通系統防護基準應包含系統開發與維護安全檢核表 、符合系統資安防護基準符規作業、系統資安檢測及弱點修補、系統備份還原及持續維運演練、教育訓練(含資通安全)等

1.1 專案組織

1. 廠商需設立聯繫窗口一名工作人員，並填寫「NCHU-ISMS-D-002 外部單位聯絡清單」  。

2. 需提供專案時程表，另軟體系統得標廠商需提供「NCHU-ISMS-D-074 系統開發與維護安全檢核表」

1.2 風險控管

1. 得標廠商如有延遲交貨情況發生，按照本校請購相關規範辦理。

2. 得標廠商需配合填寫「NCHU-ISMS-D-071 資通系統或服務委外受託者查檢表」 、「NCHU-ISMS-D-045 委外廠商保密切結書」 「NCHU-ISMS-D-069 委外廠商資訊安全自評表」。

3. 得標廠商對主機及系統操作及維護以現場操作為原則，避免使用遠距工作，且與公務網路環境界接之設備不得為大陸廠牌資通產品。如有需求，應填寫「NCHU-ISMS-D-018 遠端連線申請單」 ，經單位主管核准後，限期開放執行權限。建議如需長期開放遠端連線維護者，增加防火牆設置，並加入防火牆規則限制連線來源，應另填「NCHU-ISMS-D-034 網路服務連線申請表」 。

4. 主機及系統備份除自動執行功能外，必須填寫「NCHU-ISMS-D-046 備份操作暨檢查紀錄表」。 

5. 主機、資料庫、軟體系統正式上線前需完成：

   • 「NCHU-ISMS-D-073 資通系統安全等級評估表」 。

   • 僅硬體維運(不含系統、資料庫)委外，只需要注意：一定要簽保密切結書，範本請參考NCHU-ISMS-D-045 委外廠商保密切結書。

   • 系統(含資料庫系統) - 弱點掃描報告(必須於一個月前向計資中心提出申請)。弱掃後，依據弱掃報告，如果有需要改善事項，建議請廠商處理到完成，再重新申請弱掃。如果非原訂合約項目，日後要修改或改進的項目，則需要再填寫「NCHU-ISMS-D-038 弱點處理報告單」 及調整「NCHU-ISMS-D-073 資通系統安全等級評估表」 。 

   • 教育訓練-依照規定廠商必須完成資訊安全相關教育訓練，此購案得標廠商已經完成教育訓練，只要檢附受訓證明即可。如果廠商無法取得，建議保固期內，廠商至少一人接受本校教育訓練課程，請購單位必須提供廠商上課人員名單。 

1.3驗收交付文件

• 需提供系統管理手冊、使用者操作手冊(電子檔)

• 資料庫結構文件

• 「NCHU-ISMS-D-073 資通系統安全等級評估表」 

• 廠商的服務團隊必須有專業資訊安全人員證明

• 保密同意書/保密切結書，如涉及著作權/智財權，必須取得同意書

1.4教育訓練

• 依照規定廠商必須完成資訊安全相關教育訓練，此購案得標廠商已經完成教育訓練，只要檢附受訓證明即可。如果廠商無法取得，建議保固期內，廠商至少一人接受本校教育訓練課程，請購單位必須提供廠商上課人員名單。

1.5保固、諮詢及維護計畫

• 保固：開立發票日期起1~3年。

• 諮詢：保固期間內，提供電話、通訊軟體或遠端連線方式進行諮詢，次數不限。

• 維護：保固期間內，不論親至現場或遠端連線方式進行維護，與公務網路環境界接之設備不得為大陸廠牌資通產品。維護次數不限。

• 諮詢及維護時間以上班日為主(星期一至五，早上8時30分至下午5時30分)

1.6委外關係終止及解除

• 得標廠商需切結所持有軟、硬系統之相關資料已返還、移交、刪除或銷毀。