三、系統開發安全方針
(一)系統應依「資訊系統分級與資安防護基準作業規定」評定系統安全
等級,並符合資安防護基準要求,相關要求得參考「資訊系統委外
開發 RFP 資安需求範本」納入委外開發契約中。
(二)應用系統服務的資訊如使用於公眾網路上傳輸,應加以保護免於詐
欺行為,契約爭議及未經授權的揭露與修改。
(三)如涉及重要資料之傳輸,應使用 SSL 加密金鑰,其金鑰並於生命
週期妥善保護管理。
(四)系統測試與正式運作環境應予以分離。
(五)真實資料被複製到測試系統時,應依複製作業之性質及內容,在取
得授權後始能進行。真實資料之複製情形應予以記錄,以供查考。