📌涵盖范围 :全校委外资讯系统。
📌检核重点 :遵循资通安全管理法、个人资料保护法及政府法规与本校资讯安全暨个人资料保护管理制度等规范订定要求。
步骤一、下载相关表单
【文件对照说明】
| 单位请购审核文件 | 参考对应文件 |
| 资讯系统安全等级评估表 | 资讯系统安全等级评估表 (下载连结) |
| 委外厂商资安自评表 | 委外厂商自评表 (下载连结) |
| 委外资通系统契约参考 (委外资讯系统合约书或招标规格书草案或需求建议书) |
委外管理程序书附录A、B、C (下载连结) 资通系统防护基准之控制措施 |
| 厂商确认交付文件 | 文件简要说明 |
|
附表十-资通系统防护基准 (法规要求,敬请自行参阅上述连结以确认最新版本的附表十) |
资安法要求对应分级后普中高之控制措施,请落实 |
| 资通系统防护基准自我检核表 (下载连结) | 教育部要求应落实相关等级项目控制措施,请确实进行查检 |
- 单位填写「资通系统安全等级评估表」评定普中高,产出【资通系统安全等级评估表】
- 于选商阶段请厂商填写「委外厂商资安自评表」,产出【委外厂商自评表】,并于请购时附上。
- 依「资通系统安全等级评估表」评定等级对应「资通系统防护基准」的控制措施及参考「委外管理程序书附录A、B、C」草拟合约内容。
- 与厂商沟通协调合约内容初议草约,产出【委外资通系统合约书或招标规格书草案或需求建议书】
- 于请购时,备妥下列表单并依序上传:【资通系统安全等级评估表】、【委外厂商自评表】、【委外资通系统合约书或招标规格书草案或需求建议书】
- 委外资讯系统建置需求标准作业流程各检核重点遵循资通安全管理法、个资法及政府法规与本校资讯安全暨个人资料保护管理制度等规范订定要求,若有未符合法规项由单位自行负责。
P.S若有下列之情形,将对委外厂商进行资安实地稽核作业:
- 属高等级资通系统,且厂商未具备ISO 27001证照者
- 本校核心资通系统,且厂商未具备ISO 27001证照者
- 委外资通系统或厂商发生资安事件
此外,例行性资安检核可使用【ISO 27001证照】或本校【委外作业查核表】执行。
