委外作业管理程序书.doc

管理系統文件 文件類別 第 二 階 文 件 文件編號 ISMS-P-018 文件名稱 委外作業管理程序書 發行單位 文 件 管 制 小 組 發行日期 103年12月01日 版次 A 訂修廢單位 審 查 核 准 資通安全處理小組 （原版簽名頁保存於文件管制小組） 訂 修 廢 記 錄 版次 發行日期 訂 修 廢 內 容 摘 要 A 103/12/01 初版發行 目的 為促使本校委外廠商及委外廠商人員在本校進行各項委託業務作業及存取資訊時，有一明確的安全規範，以確保本校資料的機密性，維護資訊委外作業之安全，特制定本程序書。 適用範圍 凡本校各項業務委外處理作業，以及委外服務廠商透過遠端方式進行系統維護、外部單位駐點人員與外單位訪客使用本校內部網路或作業過程中與外單位交換資料之委外作業，均適用本程序書。 參考文件 ISMS-P-011實體與環境安全管理程序書。 ISMS-P-003資訊資產管理程序書。 ISMS-P-013帳號密碼及存取控制管理程序書。 ISMS-P-009資訊安全事件管理程序書。 ISMS-P-008矯正及預防管理程序書。 名詞定義 委外 依據契約協議，將某項服務的持續管理責任轉嫁第三者執行，本校負有監督管理責任。 作業內容 委外作業管理流程圖 作業流程 權責單位 相關表單 需求單位 權責單位 需求單位 評選標準 資通安全處理小組 委外廠商必威体育官网网址協議書 委外廠商人員必威体育官网网址切結書 委外廠商資安規範查核表 委外廠商 專案相關外部人員 管制區域進出管制登記表 委外廠商 資通安全處理小組 會議紀錄單 權責單位 驗收相關文件 權責單位 相關業務承辦人員 提出委外服務需求 本校因業務需求提出資訊委外服務時，若發生下列之情事者，即可進行適當之評估及考量將業務委外辦理。 限於專業技術或人力無法自行辦理。 自行辦理難以滿足時效要求。 自行辦理不符經濟成本效益。 其他相關環境條件無法配合。 經需求單位評估後需提出業務委外時，應擬妥簽呈並檢附需求規格，詳載業務委外各項之服務需求後提出申請。 評估及審核 需求單位將委外需求簽呈及相關附件會相關權責單位審核，若審核通過則移由事務組依本校採購相關規定辦理採購。 遴選委外服務廠商 辦理業務委外時，由需求單位參考政府採購法及本校相關廠商評選辦法遴選合格的供應廠商。 委外服務執行管理 一般條款 應要求委外廠商遵循本校資安政策與資安目標，恪守本校資訊安全管理制度（ISMS）各項作業規範及相關法規之要求。 委外廠商執行業務上若有複委託之需求，應事前取得本校之同意，委外廠商應對複委託廠商依本校資訊安全管理制度（ISMS）相關規定進行適當之監督與管理。 委外廠商及其複委託廠商於執行本校資通訊技術服務與產品業務時，應對所承接之業務所涉及之資訊資產或服務，進行風險評鑑並提出相關紀錄，本校須針對風險評鑑結果進行審查，必要時得派員進行實地查核，廠商應予配合。機關於查核後若有缺失，得以書面敘明理由請廠商限期改善。 委外廠商因執行委外業務，須接觸「密」等級（含）以上資訊，除應遵守相關法令法規及本校資訊安全規範外，尚須簽署「ISMS-P-018-01委外廠商必威体育官网网址切結書」，委外廠商人員需簽署「ISMS-P-018-02委外廠商人員必威体育官网网址切結書」。 委外廠商應提供負責委外業務的聯絡窗口及電話，協助解決相關問題，並配合本校業務執行及異常狀況排除。 委外廠商於履行合約期間所使用之軟體，均需為合法軟體，並不得違反智慧財產權之規定，如有違法情事發生，委外廠商須承擔應負之法律責任。 委外廠商所使用之工具軟體以及處理作業之執行紀錄，本校有權進行稽核審查，廠商不得異議。 委外廠商應留存異常處理紀錄，本校得視需要進行查核。 委外廠商所交付之標的物如侵害第三人合法權益時，應由委外廠商負責處理並承擔一切法律責任。 委外廠商如因其員工執行業務之過失，造成本校損失或傷害，委外廠商需負損害賠償責任。 負責執行委外業務之廠商人員離職時，應由承辦單位要求廠商人員繳回其所借用之設備、軟體及註銷其存取權限。 委外廠商人員，於支援業務時所獲知「密」等級（含）以上資訊，不得對外透露，為確保前述事項之落實，將要求其人員簽署「ISMS-P-018-02委外廠商人員必威体育官网网址切結書」。 委外廠商應依據契約中所詳載之委外需求，提供委外服務並完全滿足服務需求。 委外廠商需保證與委外作業有關的各方（包括分包商）都應遵守資訊安全法令規定。 委外服務管理 委外廠商人員於本校執行委外業務時，所需使用之相關資源，應依相關之申請規定辦理。 委外廠商人員於執行委託業務期間，若違反本校資安政策或安全管理規範，應依合約條款發函告知所屬企業或組織處理，或依相關法令訴諸法律行動。 委外廠商人員進出本校辦公室及管制區域時，應