四、管理規定
(一)重大資訊業務或事務委外辦理時,應與廠商簽訂合約,並包括下列
內容:
1.所承包之作業範圍及工作人員名單。
2.著作權之歸屬及應負之安全保密責任。
3.尊重智慧財產權,使用合法軟體。
4.軟硬體之維護方法及保固期限。
5.其他轉包廠商及相關參與者的責任義務。
(二)資訊業務委外時,應進行風險評估,得參考資通安全會報技服中心
所訂之「資訊系統委外開發 RFP 資安需求範本」納入相關資安要
求於合約或建議書徵求說明書文件(RFP) 中。
(三)重要資料需委外輸入或建檔者,必須在本署暨所屬機構執行,不得
攜出,以防止資料被竊取、販售、洩露及不當備份等情形發生。
(四)對廠商之軟體系統建置及維護人員,應限制其可接觸之系統與資料
範圍。
(五)若因應業務需要,可另行發給臨時帳號供廠商使用,但應於使用完
畢後立即取消其使用權限。
(六)服務廠商之資訊人員或維護人員,應得到授權始能進入管制區域,
並需由資訊單位人員陪同方可進入機房。
(七)適時稽核委外廠商資通安全落實之情形,確保本署暨所屬機構日常
作業管理、異常作業管理及作業變更管理之安全性。
(八)適時稽核委外廠商之履約能力,以防止可能導致之業務中斷。
(九)應要求委外廠商遵守「個人資料保護法」及本署之相關規定。
(十)若為主機系統之委外採購,主辦單位應對系統需求做適當規劃,以
確保足夠的資訊系統處理及儲存容量。
(十一)應依專案內容要求廠商提供設備主機之架構、操作、管理、維護
等相關之操作手冊或系統開發相關文件與技術支援,如必要亦應
請廠商提供教育訓練課程。