1 目的:
確保圖書資訊處所屬資訊資產委外服務作業品質與效率,並能符合內部作業流程安全 之要求。
2 範圍:
凡圖書資訊處資安相關作業所屬資訊資產適於委外作業項目均屬之,包括:
2.1 基礎設施採購/維護 2.2 主機系統採購/維護 2.3 網路設備採購/維護 2.4 應用軟體開發/維護 2.5 客製化軟體開發/維護 2.6 資訊服務評估/提供
3 權責:
3.1 業務權責單位:
擬定與委外廠商服務相關規格、合約內容以及適當之安全保密協議,並於合約期間 內負責委外廠商作業管理與評鑑相關事項。
3.2 業務權責單位主管:
負責審查合約內容無違反本校應遵循之相關規定或傷害本校之權益。
3.3 總務處:
在符合業務權責單位提出之需求下,依採購程序遴選出委外廠商。
4 名詞解釋:
無。
5 作業內容:
5.1 一般性事務:
5.1.1 權責單位就業務需求提出資訊委外服務時,應適當評估資訊委外之必要性。
5.1.2 進行委外採購時,應對委外廠商提出之規劃報告審視系統需求以做適當規劃。
5.1.3 本處伺服器主機換裝或六個月以上之委外應用系統開發案,委外廠商須依據「專 案執行計畫書大綱規範」,提出「專案執行計畫書」,內容包含系統發展生命週 期時程、風險分析、效益與人力需求分析與應用系統所應達成的功能。
5.1.4 承包廠商應提供所採購/維護設備、系統之架構、操作、管理等相關之文件與技 術支援,必要時應提供適當且足夠之教育訓練課程。
5.1.5 採購/維護合約書內容應包含服務項目、範圍、雙方權利義務與相關資訊資產安 全保密責任等,業務承辦人再依服務規格與驗收項目等進行服務品質監控與管 理,並填寫於「供應商專案執行評鑑紀錄表」中。
5.1.6 針對委外廠商相關資訊資產安全保密責任,需簽訂「委外廠商個人資料蒐集聲 明暨同意書」及「委外廠商保密切結書」,以維護資訊資產機密性。
5.1.7 承包廠商應提供一般服務與技術支援聯絡窗口,且建立「委外廠商服務人員名 冊」以確認人員資格,並配合圖書資訊處相關程序規定提供服務。
5.1.8 承包廠商於採購/維護合約生效時,應按照合約內容提供服務,服務完成後應提 供相關服務紀錄,由業務負責人員進行服務驗收,如驗收無誤於服務廠商的紀 錄單上簽收。
5.1.9 承包廠商服務人員在機房維修服務時,應依【實體與環境安全管理程序】執行 相關管制措施。
5.1.10 承包廠商服務人員在進行委外項目維護時,應事先將維護內容告知權責單 位人員,並取得權責單位人員同意才可進行委外項目維護。
5.1.11 承包廠商進行系統開發與維護時,如需複製或攜出圖書資訊處機密(含)等級以 上之業務資料,需由申請單位填寫「機密文件攜出申請表」,經圖書資訊處圖 資長同意後,始可複製或攜出圖書資訊處機密(含)等級以上之業務資料。
5.1.12 承包廠商服務人員除攜帶必要之維護設備進入機房外,其餘非必要之行動資訊 媒介應存放在機房外辦公室指定地點。
5.1.13 與承包廠商合約中止前一個月,權責單位應與承包廠商確認軟硬體安裝與維護 之完整性。機房權責單位應於合約到期日當天將承包廠商的各項權限停權。
5.1.14 所有智慧財產權應清楚的界定,原則是歸屬我方所有。在受託方接受我方合約 時,所有過程必須要符合有關法令法規。
5.1.15 承包廠商於合約內提供之軟體,必須為合法授權,且不得違反智慧財產權之相 關規定,如有違反情事發生,承包廠商須承擔所有法律責任。
5.1.16 承包廠商所交付之標的物如有侵害第三人合法權益時,應由承包廠商負責處理 並承擔一切法律責任。
5.1.17 承包廠商如因其員工執行業務之過失,造成圖書資訊處資訊資產損害,承包廠 商須負完全損害賠償責任。
5.2 資訊安全管理:
5.2.1 如承包廠商服務人員須進行遠端登入服務時,設備負責人以「Server(伺服主機) 服務開放申請單」申請必要之權限,並於服務結束後,網管人員應立即關閉該 委外服務項目之防火牆通道,遠端登入申請期限一次最多以三個月為限,若有 簽定合約,則以合約期限為主。
5.2.2 委外維護時,如發生資訊安全事件,陪同之權責單位人員應立即請承包廠商服 務人員終止維護,依【資安事件通報及危機處理管理程序】辦理通報,並針對 緊急事件情況進行處置。
5.2.3 承包廠商進行硬體或軟體更新時,應先告知更新時會造成之現象或狀況,以利 權責單位人員判斷緊急處置方式。
5.3 風險評鑑:
5.3.1 權責單位應依據【資訊資產管理程序】、【資訊安全風險評鑑管理程序】,評估所 委外項目之資訊資產價值、機密性、可用性等級,以及可能之威脅及弱點。
5.3.2 權責單位依據 5.3.1 風險評鑑的結果,進行風險管理作業,並選擇適當之安全控 制措施,明訂於採購/維護合約之中。
5.4 系統委外開發及維護:
5.4.1 承包廠商程式修改與開發皆須遵守圖書資訊處【系統開發與維護管理程序】之
規定,若有例外,須經權責單位主管同意之後,方可實施。
5.4.2 系統若委由外部廠商開發,承包廠商應提供完整之系統架構說明、系統分析設 計、資料庫欄位設計等相關文件,經由圖書資訊處相關人員確認後方能執行。
5.4.3 承包廠商應確實控管程式與文件版本之一致性。
5.4.4 承包廠商須針對交付之系統,應保證系統內不含惡意程式及隱密通道,若為網 頁式應用服務需通過圖書資訊處指定工具之弱點掃描。
5.4.5 承包廠商交付之系統、軟體,應由圖書資訊處權責單位負責測試及驗收,在確 定符合需求規格後,方可上線使用。
5.4.6 本處並將供應商專案執行狀況記錄於「供應商專案執行評鑑紀錄表」,作為後續 專案或購案時選商評鑑之參考。
5.5 服務變更管理:
5.5.1 承包廠商所提供之服務內容或資產有變動時,依照變動程度,參照【資訊安全 風險評鑑管理程序】辦理,並視需求檢附風險評鑑相關資料,經圖書資訊處圖 資長核准,方可進行變更。如合約需要變動或重新簽定時,依本校合約簽訂辦 法處理,並確保合約內容符合相關資訊安全規範之要求。
6 參考文件:
6.1 實體與環境安全管理程序(ISMS-02-008)
6.2 資安事件通報及危機處理管理程序(ISMS -02-0011) 6.3 資訊資產管理程序(ISMS -02-012)
6.4 資訊安全風險評鑑管理程序(ISMS -02-006) 6.5 系統開發與維護管理程序(ISMS -02-013) 6.6 專案執行計畫書大綱規範(ISMS-03-003)
7 使用表單:
7.1 委外廠商保密切結書(ISMS -04-011) 7.2 委外廠商服務人員名冊(ISMS -04-013)
7.3 機密文件攜出申請表(ISMS -04-014)
7.4 Server(伺服主機)服務開放申請單(ISMS -04-015) 7.5 委外廠商個人資料蒐集聲明暨同意書(ISMS-04-058) 7.6 供應商專案執行評鑑紀錄表(ISMS-04-071)
