(樣本)🔔【委外承辦人員應辦事項】檢核表

您的瀏覽器尚未啟用 JavaScript，因此無法開啟檔案。請於啟用後重新載入頁面。

(樣本)🔔【委外承辦人員應辦事項】檢核表

依教育機構資安驗證中心「各校以全機關為範圍導入ISMS應優先落實的執行策略」所列委外承辦人員相關檢核項目

登入 Google即可儲存您的進度。瞭解詳情

電郵 *

受稽單位(人員)
*

稽核委員
*

一、資安專業課程或資安職能教育訓練

★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★

3.7 資訊人員每2年接受3小時以上之資通安全專業課程訓練或資通安全職能訓練，且每年接受3小時以上之資通安全通識教育訓練？

依據資通安全管理法FAQ 3.18規定，資訊人員包含：資通系統委外開發之業務人員、具有系統維運管理權限之業務人員等相關接觸系統之單位人員。
稽核參考：資通安全專業課程訓練或資通安全職能訓練 - 上傳學習證明

符合

其他：

清除選取

二、資訊系統或服務委外辦理管理措施

★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★

5.1 訂定資訊作業委外安全管理程序，包含委外選商及監督相關規定。

此項僅需稽核計資中心

不適用

清除選取

5.1.1 依行政院111年5月26日函送之「資通系統籌獲各階段資安強化措施」，將所要求之相關措施納入委外安全管理程序?

本校111年11月興計字第1111200209號已進行「資通系統籌獲各階段資安強化措施宣導及調查」
稽核參考：ISMS-B-007資訊作業委外安全管理辦法 - 委外安全規劃與採購、資通系統籌獲各階段資安強化措施宣導海報、系統委外文件宣導海報、處理時間軸

符合

其他：

清除選取

5.2 機關及委外廠商皆已指定專案管理人員，負責委外作業之資通安全管理事項？

稽核參考：ISMS-B-007資訊作業委外安全管理辦法、系統委外辦理宣導海報

符合

其他：

清除選取

5.3 委外廠商擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員？

稽核參考：ISMS-B-007資訊作業委外安全管理辦法 - 委外安全規劃與採購、系統委外辦理宣導海報

符合

其他：

清除選取

5.10 委外關係終止或解除時，確認委外廠商返還、移交、刪除或銷毀持有資料？

稽核參考：ISMS-B-007資訊作業委外安全管理辦法 - 委外安全規劃與採購、系統委外辦理宣導海報

符合

其他：

清除選取

三、委外業務風險評估

★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★

5.4 針對委外業務項目進行風險評估，包含可能影響資產、流程、作業環境或特殊對機關之威脅，以強化委外安全管理？

稽核參考：ISMS-B-007資訊作業委外安全管理辦法 - 委外安全規劃與採購、系統委外辦理宣導海報、系統委外文件宣導海報、處理時間軸

符合

其他：

清除選取

四、禁止使用大陸廠牌資通訊產品及人員

★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★

4.7 針對公務用之資通訊產品，包含軟體、硬體及服務等，禁止使用大陸廠牌資通訊產品？

稽核參考：限制使用危害國家資通安全產品宣導網站、限制大陸製品宣導海報

符合

其他：

清除選取

4.7.1 透過委外契約或場地租借使用規定，要求對外出租場域不得使用大陸廠牌資通訊產品？

本校111年11月興計字第1111200209號已進行「委外契約或場地租借使用規定不得使用大陸廠牌資通訊產品宣導及調查」
稽核參考：教育部111年全國大專校院資安長會議、各機關對危害國家資通安全產品限制使用原則修正(數位發展部數授資綜字第1111000056號)

符合

其他：

清除選取

4.8 列冊管理大陸廠牌資通訊產品，並已於110年底前將該產品自公務環境中移除？如該產品仍有與公務環境介接之情況，是否經行政院核定評估同意？

此項僅需稽核計資中心

不適用

清除選取

5.16 針對涉及資通訊軟體、硬體或服務相關之採購案，契約範圍內之委外廠商是否為大陸廠商或所涉及之人員？是否有陸籍身分？是否允許委外廠商使用大陸廠牌之資通訊產品，包含軟體、硬體及服務等？

稽核參考：行政院秘書長109年7月21日院臺護字第1090094901A號函

符合

其他：

清除選取

五、RFP規範防護基準

★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★

5.6 依資通系統分級，於徵求建議書文件(RFP)相關採購文件中明確規範防護基準需求？

稽核參考：ISMS-B-007資訊作業委外安全管理辦法 - 委外安全規劃與採購、系統委外辦理宣導海報、系統委外文件宣導海報、處理時間軸

符合

其他：

清除選取

8.8 資通系統開發如委外辦理，是否將系統發展生命週期各階段依等級將安全需求(含機密性、可用性、完整性)納入委外契約？

稽核參考：ISMS-B-007資訊作業委外安全管理辦法 - 委外廠商作業資訊安全要求、安全系統發展生命週期之評估工具介紹網站、系統開發SSDLC教材

符合

其他：

清除選取

六、分(轉)包資安措施

★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★

5.5 依委外業務項目性質允許委外廠商就委外業務項目分(轉)包？如允許分(轉)包，注意分(轉)包之範圍，以及分(轉)包之廠商具備資通安全維護措施？

稽核參考：ISMS-B-007資訊作業委外安全管理辦法 - 委外廠商作業資訊安全要求、系統委外辦理宣導海報

符合

其他：

清除選取

七、廠商資安管理評估

★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★

5.7 對於資通系統之委外廠商，針對其人員(如能力、背景等)及開發維運環境之資通安全管理進行評估？

稽核參考：ISMS-B-007資訊作業委外安全管理辦法 - 委外廠商作業資訊安全要求、資通系統籌獲各階段資安強化措施宣導海報、系統委外文件宣導海報、處理時間軸

符合

其他：

清除選取

八、定期監督管理委外人員與媒體

★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★

5.15 定期檢視並分析資訊作業委外之人員安全、媒體保護管控、使用者識別及鑑別、組態管控等相關紀錄？

稽核參考：ISMS-B-007資訊作業委外安全管理辦法 - 委外廠商作業資訊安全要求、系統委外辦理宣導海報

符合

其他：

清除選取

九、委外廠商應落實之資安管理作為

★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★

5.11 訂定委外廠商之資通安全責任及保密規定，且落實執行？

稽核參考：ISMS-B-007資訊作業委外安全管理辦法 - 委外安全規劃與採購、系統委外文件宣導海報、處理時間軸

符合

其他：

清除選取

5.9 訂定委外廠商對於機關委外業務之資安事件通報相關處理規範？委外廠商違反資通安全相關法令或知悉資通安全事件時，立即通知機關並採行補救措施？

稽核參考：ISMS-B-011資訊安全事件通報管理辦法、資訊服務採購案之資安檢核事項

符合

其他：

清除選取

5.12 定期或於知悉委外廠商發生可能影響委外作業之資通安全事件時，對委外廠商所提供之服務、報告及紀錄等進行管理及安全檢視，以利後續追蹤及管理？

稽核參考：ISMS-B-011資訊安全事件通報管理辦法、資訊服務採購案之資安檢核事項

符合

其他：

清除選取

5.13 委外廠商專案成員進出機關範圍被限制？委外廠商駐點人員使用之資訊設備(如個人、筆記型、平板電腦、行動電話及智慧卡等)建立相關安全管控措施？

稽核參考：ISMS-B-007資訊作業委外安全管理辦法 - 委外廠商作業資訊安全要求、資訊服務採購案之資安檢核事項

符合

其他：

清除選取

5.14 訂定委外廠商系統存取程序及授權規定(如限制可接觸系統、檔案及資料範圍)？委外廠商專案人員調整及異動，依系統存取授權規定，調整其權限？

稽核參考：ISMS-B-007資訊作業委外安全管理辦法 - 委外廠商作業資訊安全要求、資訊服務採購案之資安檢核事項

符合

其他：

清除選取

7.13 針對機關內部同仁及委外廠商進行遠端維護資通系統，採「原則禁止、例外允許」方式辦理，並有適當之防護措施？

稽核參考：ISMS-B-007資訊作業委外安全管理辦法 - 委外廠商作業資訊安全要求、ISMS-B-009資訊安全存取管理辦法 - 遠距工作、系統委外文件宣導海報、處理時間軸、行政院資通安全處110年3月2日院臺護字第1100165761號函

符合

其他：

清除選取

5.8 客製化資通系統開發要求委外廠商提供資通系統之安全性檢測證明，並針對非委外廠商自行開發之系統或資源標示其來源及提供授權證明？

稽核參考：ISMS-B-007資訊作業委外安全管理辦法 - 委外廠商作業資訊安全要求、資訊服務採購案之資安檢核事項

符合

其他：

清除選取

您的回應副本將會電郵到您提供的地址。

提交

清除表格

請勿透過 Google 表格提交密碼。

reCAPTCHA

私隱權條款

這個表格是在國立中興大學內建立。舉報濫用情況

表格