跳到主要內容區
:::
  1. 首頁
  2. 資訊安全專區
  3. 資安規定
  4. 委外資通訊系統或服務資安條款

委外資通訊系統或服務資安條款

  1. 乙方應遵守「資通安全管理法」暨其相關子法、行政院頒訂之各項資通安全規範及甲方有關系統開發維護之資通安全相關規定辦理,以強化資訊系統安全管理,確保資料傳送、儲存及流通之安全。
  2. 乙方須依照「資通安全責任等級分級辦法」及附表十規定,依甲方所核定之資通系統安全等級,協助建立相對應之資通安全防護控制措施,並填復「資通系統資安防護基準要求與查核表」,並由權責人員簽名或簽章確認。
  3. 乙方將契約之部分交由分包商代為履行時,應符合契約分包規定;分包商並應具備完善之資通安全管理措施或通過第三方驗證,且應遵守甲方及本專案之各項資通安全規定。分包商執行本專案各項作業時,乙方應負監督管理責任,並負完全責任。
  4. 乙方參與本專案之成員均需簽署人員保密切結書。
  5. 乙方派任從事受託作業之人員,應至少接受資通安全意識教育訓練,並完成與其受託作業範圍相關之資通安全教育訓練後,始得執行相關作業。
  6. 系統應支援跨瀏覽器操作使用及HTTPS傳輸協定,其安全性設定應符合主管機關或產業最佳實務建議。
  7. 系統不得使用已停止支援或具有重大資安風險之技術(例如ActiveX、Java Applet等)。
  8. 系統須將存於資料庫內之使用者密碼欄位以加密(不可逆)處理儲存。資料庫連線字串亦應予加密,密碼避免直接寫於檔案或程式碼中。
  9. 系統應符合資通安全職務分離原則,建立適當之權限控管機制,並依業務需求區分角色與權限,加以控管。且正式作業及測試系統,應採用不同的登入程序。
  10. 乙方交付之軟、硬體及文件,應先行檢查是否內藏惡意程式或隱密通道,並應於系統上線前清除正式環境中非正式作業所需之測試或管理用途資料及帳號。
  11. 系統上線前,乙方應提出測試計畫並完成測試報告(採電子或指定安全儲存媒介及書面交付);除功能驗證外,並應納入資通安全需求驗證。
  12. 系統上線前,乙方應將作業系統及發展工具軟體等安裝至最新之修補程式,並針對程式做相關資訊安全檢測(例如SQL Injection、XSS、惡意程式碼檢測等)。
  13. 乙方所提供之服務,如為軟體或系統發展,須針對各版本進行版本管理。乙方應配合甲方程式版控及程式更新申請機制,並指定專人負責版控登錄及管理。版控資訊或管理設定如有異動,應即時通知甲方系統承辦人並配合辦理調整。
  14. 程式變更應先於測試環境完成測試確認並保留前後差異紀錄;經甲方確認後,始得於指定時間部署於正式環境。變更後如無法正常運作,應立即回復至變更前版本。更新完成後10個工作日內提供說明文件;甲方認有必要時應配合教育訓練。涉及系統文件修正者,應於變更完成後一個月內完成修正送交。
  15. 乙方應提供安全完整之系統備份與還原程序,並以電子媒體或甲方指定之安全儲存媒介及書面文件交付;甲方如有需要,乙方應配合於甲方指定或建置之環境提供測試與驗證。
  16. 維護期限內,倘維護標的因故搬遷、移轉或環境調整,乙方應協助辦理系統轉置、移轉或重新設定。
  17. 因軟硬體設備異動涉及原系統環境變更時(如版本變更或安裝修補程式〔Patch〕等),乙方應提供必要之技術協助。
  18. 針對運作環境(如OS、DB、軟體版本等)異動,乙方應協助進行事前評估、轉置及設定。異動完成後,乙方應進行系統測試,以確保正常運作與相容性。
  19. 乙方應遵循個人資料保護法之相關規定,保留個人資料存取記錄,以利稽核。並配合甲方資通安全風險評估及管理需求,對個人資料或機敏資料採取適當之保護及加密措施,以確保資料之機密性。
  20. 乙方指派之存取人員,應依甲方程序申請使用者識別碼及密碼。
  21. 配合甲方資通安全管理系統(ISMS)之導入及維護需求,乙方應協助調整系統相關功能、設定及文件,並配合辦理相關資通安全作業。
  22. 配合甲方外部稽核、查核或資通安全管理需求,乙方應接受甲方或其委託單位辦理與本專案相關之稽核、查核或驗證(含開發環境、系統、流程及機制)。如因限制無法現場查核,得經甲方同意,以第三方驗證報告、稽核證明或其他替代方式辦理。
  23. 乙方應配合甲方辦理資安檢測,檢測結果不得存在高風險弱點;中、低風險弱點應提出改善措施、時程或風險評估報告,經甲方同意後辦理。
  24. 配合甲方實施之弱點掃描、滲透測試、內外部稽核所出具之報告,乙方應依結果提出問題分析、改善措施及建議。如因故無法如期完成,經甲方同意得酌予延長;完成後交付資通安全改善執行報告。甲方得視需要要求乙方參與會議。
  25. 乙方提供服務如發生資安事件時,必須於知悉事件一小時內通報甲方,提出緊急應變處置,並配合後續處理。系統如發生資通安全事件,乙方須於2小時內啟動應變處理,必要時依甲方要求到場協助。
  26. 當系統異常無法正常運作,乙方應於接獲通知4個工作小時內進行處理,並於1個工作天內提出處理方案及預估完成時間。
  27. 乙方應於專案執行期間負責系統文件最新版本之建立、更新及維護,並依甲方規定交付完整之系統文件(包含安裝設定報告書、備份還原程序書、說明書、設計規格書及操作手冊等),交付方式應採電子媒體或甲方指定之安全儲存媒介。
  28. 委託關係終止或解除時,乙方應確實依甲方指示返還、移交、刪除或銷毀履行契約而持有之資料及甲方軟、硬體財產,並簽署「委託關係終止/解除之資料處置切結書」。
  29. 乙方如違反上述規定,適用契約之違約責任,並就甲方所受損害負賠償之責;如致第三人權利受有損害時,乙方亦應負責。