委外管理

系統委外開發注意事項與資安檢核表單

1.應根據廠商專業能力、技術經驗及財務能力，慎選優良廠商。(系統開發建置勿找學生或老師)

2.委外開發合約，應明訂保固期間、維護方式、教育訓練、資訊安全與個資保護等資安要求，並制定違約罰責。

(建議可參考公共工程委員會提供資訊服務採購契約範本)

3.限制使用危害國家資通安全產品，行政院要求各機關於110年底前完成汰換所使用或採購大陸品牌資通訊產品(前往說明專頁)。

4.系統開發與維運需依本校對該系統分級 ( 普、中、高 ) 結果，完成「資通安全責任等級分級辦法」附表十「資通系統防護基準」之該等級全部適用項目要求。(前往說明專頁)

5.要求承包廠商參與開發之相關工作人員，均須簽訂保密切結書。

6.在系統初始階段將對廠商資安與個資保護要求納入考量。

❖例HTTPS傳輸協定、使用TLS1.2以上版本傳輸、弱掃、個資管理 (蒐集、處理、利用與銷毀)

7.廠商交付之軟硬體及文件，應先行檢查是否內藏惡意程式(如病毒、蠕蟲、木馬、間諜軟體等)，並於上線前應清除正式環境之測試資料與帳號及管理資料與帳號。

8.承包廠商所開發或維護之系統，於合約有效期間，若發現系統有安全漏洞，應無償配合修改，修改方式交付時間須經本校同意。

9.終止或解除委託關係，應確認委外廠商返還、移交、刪除或銷毀履行契約而所持有之資料。

11.廠商如有違反個人資料保護相關法令而致個人資料被竊取、洩漏、竄改、毀損、滅失或其他侵害之情事，應立即通知本校，並說明違反事項及採行之補救措施意。

【其他委外規範】

資通系統籌獲各階段資安強化措施 -數位發展部資通安全署 (前往資安署網頁)

教育部委外辦理或補助建置維運伺服主機及應用系統網站 (前往教育部網頁)

【資安相關檢核表單與文件】

資安防護基準SSDLC檢核表(網站開發建置) -普級、中級、核心、高級 (已填此表可免填資安防護基準檢核表)

資安防護基準檢核表(網站維護)-普級、中級、核心、高級 (參考資料: 資通系統防護基準填寫範例、驗證實務)

資訊系統弱點處理報告單 ( doc 、pdf )

委外廠商未完成系統弱掃修補之切結文件 (公文範本)

【教育訓練】