📌涵蓋範圍 :全校委外資訊系統。
📌檢核重點 :遵循資通安全管理法、個人資料保護法及政府法規與本校資訊安全暨個人資料保護管理制度等規範訂定要求。
步驟一、下載相關表單
【文件對照說明】
| 單位請購審核文件 | 參考對應文件 |
| 資訊系統安全等級評估表 | 資訊系統安全等級評估表 (下載連結) |
| 委外廠商資安自評表 | 委外廠商自評表 (下載連結) |
| 委外資通系統契約參考 (委外資訊系統合約書或招標規格書草案或需求建議書) |
委外管理程序書附錄A、B、C (下載連結) 資通系統防護基準之控制措施 |
| 廠商確認交付文件 | 文件簡要說明 |
|
附表十-資通系統防護基準 (法規要求,敬請自行參閱上述連結以確認最新版本的附表十) |
資安法要求對應分級後普中高之控制措施,請落實 |
| 資通系統防護基準自我檢核表 (下載連結) | 教育部要求應落實相關等級項目控制措施,請確實進行查檢 |
- 單位填寫「資通系統安全等級評估表」評定普中高,產出【資通系統安全等級評估表】
- 於選商階段請廠商填寫「委外廠商資安自評表」,產出【委外廠商自評表】,並於請購時附上。
- 依「資通系統安全等級評估表」評定等級對應「資通系統防護基準」的控制措施及參考「委外管理程序書附錄A、B、C」草擬合約內容。
- 與廠商溝通協調合約內容初議草約,產出【委外資通系統合約書或招標規格書草案或需求建議書】
- 於請購時,備妥下列表單並依序上傳:【資通系統安全等級評估表】、【委外廠商自評表】、【委外資通系統合約書或招標規格書草案或需求建議書】
- 委外資訊系統建置需求標準作業流程各檢核重點遵循資通安全管理法、個資法及政府法規與本校資訊安全暨個人資料保護管理制度等規範訂定要求,若有未符合法規項由單位自行負責。
P.S若有下列之情形,將對委外廠商進行資安實地稽核作業:
- 屬高等級資通系統,且廠商未具備ISO 27001證照者
- 本校核心資通系統,且廠商未具備ISO 27001證照者
- 委外資通系統或廠商發生資安事件
此外,例行性資安檢核可使用【ISO 27001證照】或本校【委外作業查核表】執行。
