發佈日期：114/10/29｜更新日期：115/01/30
※本網頁所提及之文件及參考網頁均設有超連結，敬請點擊文字前往參閱。

依據「資通安全管理法」第 10 條規定，為使本校落實資通安全保護作業，敬請參照本網頁辦理資通服務委外採購（小額採購亦同!!!），要求廠商簽署資通安全條款、保密切結書等相關文件。除了可以保障本校權利，亦能降低資通安全事件風險，並達成風險轉移之目的。
►備註：何謂「資通服務」？依據「資通安全管理法」第 3 條之定義，資通服務指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。實務上，包括資通系統之建置或維運、軟硬體之提供，以及網路或資通設備之維修等，均屬資通服務之範圍。

【專案履行前】

1. 應請廠商簽署本校「資通服務委外之資通安全條款切結書」；如專案涉及委託廠商蒐集、處理或利用個人資料，還須請廠商簽署本校「個人資料委外監督及保護條款切結書」。簽署時機如下：
   • 如有招標程序，應於招標前將上述切結書納入招標文件。
   • 如有簽署契約，應將上述切結書納入契約內容。
   • 如未簽署契約，則另行請廠商簽署上述切結書。

2. ---

   有關上述「資通服務委外之資通安全條款切結書」，得依專案實際情形，將不適用之條款以刪除線劃記。
   ►例如：專案金額未達新臺幣一千萬元者，得刪除第 19 條；專案未涉及資通系統建置與維運者，得刪除「柒、資通系統之建置與維運」章節及底下第 20 條至第 30 條。

3. ---

   有關上述「個人資料委外監督及保護條款切結書」，其中第 2 條及第 3 條設有勾選欄位，請依專案實際需求勾選。
   ►備註：第 2 條如勾選「乙方辦理個資管理及保護情形自行評估作業，並提供甲方資料」，其自行評估所提供之資料內容，可參考「個人資料安全查核表_初階自評版」。

4. ---

   如專案涉及資通系統建置與維運，應注意下列事項：
   • 應依據「資通安全責任等級分級辦法」之「附表九 資通系統防護需求分級原則」，評估專案所涉及之資通系統之防護需求等級，並據以勾選「資通服務委外之資通安全條款切結書」第 20 條有關資通系統防護需求等級之訂定。
     ►備註：防護需求等級越高，所需資安防護措施越多（參考「資通安全責任等級分級辦法」之「附表十 資通系統防護基準」）。
   • 如有招標程序，應請廠商於提報之估價單等投標文件中明列資安經費，且至少占資訊經費的 5%。
   • ►可參考「資安署_資通系統籌獲各階段資安強化措施網頁」之「附件1_廠商估價單_資安作業範例」。
   • 如有招標程序，宜採最有利標、不訂底價為原則，並以評選方式選任廠商。
   • 如有招標程序，應將資安作為納入評選項目，配分至少占總分之 10%；假如資通系統或服務占比低於 10%，則配分至少占總分之 5%。
     ►可參考「資安署_資通系統籌獲各階段資安強化措施網頁」之「附件2_評選委員評選表_範例」。
   • 如有招標程序，評選前應請廠商針對資安作為進行自我評估，以利後續評選時請廠商說明履約之資安作為。
     ►可參考「資安署_資通系統籌獲各階段資安強化措施網頁」之「附件3_廠商資安管理作業自我評估表_範例」。

5. ---

   應請廠商以公司名義，簽署 1 份本校「PIMS-2-015-02委外廠商保密切結書」（簽署完成之切結書由承辦單位自行妥善保存）。

6. ---

   應請所有參與專案之廠商人員，每人各自簽署 1 份本校「PIMS-2-015-03委外廠商人員保密切結書」（簽署完成之切結書由承辦單位自行妥善保存）。

【專案履行期間】

1. 如專案涉及資通系統建置與維運，應於系統上線前，協同廠商填寫本校「資通系統盤點表」。其中「03_系統防護基準檢核表」分頁，應依據系統防護需求等級，請廠商評估其符合情形並檢附相關佐證資料。完成後請將「資通系統盤點表」寄送至 isms@ncnu.edu.tw。

2. ---

   如有新增廠商人員參與專案，應請該人員簽署 1 份本校「PIMS-2-015-03委外廠商人員保密切結書」（簽署完成之切結書由承辦單位自行妥善保存）。