四、管理規定 (一)重大資訊業務或事務委外辦理時,應與廠商簽訂合約,並包括下列 內容: 1.所承包之作業範圍及工作人員名單。 2.著作權之歸屬及應負之安全保密責任。 3.尊重智慧財產權,使用合法軟體。 4.軟硬體之維護方法及保固期限。 5.其他轉包廠商及相關參與者的責任義務。 (二)資訊業務委外時,應進行風險評估,得參考資通安全會報技服中心 所訂之「資訊系統委外開發 RFP 資安需求範本」納入相關資安要 求於合約或建議書徵求說明書文件(RFP) 中。 (三)重要資料需委外輸入或建檔者,必須在本署暨所屬機構執行,不得 攜出,以防止資料被竊取、販售、洩露及不當備份等情形發生。 (四)對廠商之軟體系統建置及維護人員,應限制其可接觸之系統與資料 範圍。 (五)若因應業務需要,可另行發給臨時帳號供廠商使用,但應於使用完 畢後立即取消其使用權限。 (六)服務廠商之資訊人員或維護人員,應得到授權始能進入管制區域, 並需由資訊單位人員陪同方可進入機房。 (七)適時稽核委外廠商資通安全落實之情形,確保本署暨所屬機構日常 作業管理、異常作業管理及作業變更管理之安全性。 (八)適時稽核委外廠商之履約能力,以防止可能導致之業務中斷。 (九)應要求委外廠商遵守「個人資料保護法」及本署之相關規定。 (十)若為主機系統之委外採購,主辦單位應對系統需求做適當規劃,以 確保足夠的資訊系統處理及儲存容量。 (十一)應依專案內容要求廠商提供設備主機之架構、操作、管理、維護 等相關之操作手冊或系統開發相關文件與技術支援,如必要亦應 請廠商提供教育訓練課程。
酌作文字修正,理由同修正名稱之說明。
一、新增委外合約要求、個人資料保護法要求、容量管理要求、文件建構管理要求。 二、點次格式修正。
* 請輸入民國年月日共七碼,個位數前面請加 0,例如:0940526