修正條文

一、目的
    為確保內政部消防署(以下簡稱本署)暨所屬機構資訊系統資訊作業
    委外安全,特訂定本規範。
二、依據
    依據「內政部消防署暨所屬機構資通安全政策及管理要點」辦理。
三、適用範圍
    本署暨所屬機構資訊相關業務或事務需委外辦理時,均應遵守本規範
    之規定。適用之相關資訊委外作業如下:
(一)主機系統委外採購與維護。
(二)網路相關硬體設備委外採購與維護。
(三)應用系統委外開發及維護。
(四)應用系統套裝軟體客製化及維護。
(五)資料處理委外。
(六)設備租用。
(七)專業顧問服務聘僱。
四、管理規定
(一)重大資訊業務或事務委外辦理時,應與廠商簽訂合約,並包括下列
      內容:
      1.所承包之作業範圍及工作人員名單。
      2.著作權之歸屬及應負之安全保密責任。
      3.尊重智慧財產權,使用合法軟體。
      4.軟硬體之維護方法及保固期限。
      5.其他轉包廠商及相關參與者的責任義務。
(二)資訊業務委外時,應進行風險評估,得參考資通安全會報技服中心
      所訂之「資訊系統委外開發 RFP  資安需求範本」納入相關資安要
      求於合約或建議書徵求說明書文件(RFP) 中。
(三)重要資料需委外輸入或建檔者,必須在本署暨所屬機構執行,不得
      攜出,以防止資料被竊取、販售、洩露及不當備份等情形發生。
(四)對廠商之軟體系統建置及維護人員,應限制其可接觸之系統與資料
      範圍。
(五)若因應業務需要,可另行發給臨時帳號供廠商使用,但應於使用完
      畢後立即取消其使用權限。
(六)服務廠商之資訊人員或維護人員,應得到授權始能進入管制區域,
      並需由資訊單位人員陪同方可進入機房。
(七)適時稽核委外廠商資通安全落實之情形,確保本署暨所屬機構日常
      作業管理、異常作業管理及作業變更管理之安全性。
(八)適時稽核委外廠商之履約能力,以防止可能導致之業務中斷。
(九)應要求委外廠商遵守「個人資料保護法」及本署之相關規定。
(十)若為主機系統之委外採購,主辦單位應對系統需求做適當規劃,以
      確保足夠的資訊系統處理及儲存容量。
(十一)應依專案內容要求廠商提供設備主機之架構、操作、管理、維護
        等相關之操作手冊或系統開發相關文件與技術支援,如必要亦應
        請廠商提供教育訓練課程。
五、附則
(一)本署所屬機構得視本身業務之個別需求,依據本規範另訂相關規範
      或須知,報署核備後實施。
(二)本規範自核定後實施,修正者亦同。