台北医学大学委外管理办法 .docVIP

臺北醫學大學委外管理98年9月7日資訊安全委員會新訂通過 99年12月15日資訊安全委員會修正通過 103年11月11日資訊安全委員會修正通過 為確保本校資訊委外作業之安全。 適用於本校資訊委外作業項目，包括： 主機系統委外採購與維護。 網路相關硬體設備委外採購與維護。 應用系統委外開發及維護。 應用系統套裝軟體客製化及維護。 資料服務委外。 設備租用服務委外。 專業顧問服務委外。 主辦單位應依據本辦法之規定，提出適當之安全需求及擬定與廠商服務相關合約內容，並確實在合約中訂定「保密條款」。 業務權責單位應負責審查主辦單位所擬定之合約，確認合約內容無違反本校應遵循之相關規定或傷害本校之權益。對於服務提供廠商之遴選，應符合主辦單位所提出之安全需求及採購辦法之規範。主辦單位應依據「資訊資產管理」、「風險評鑑與管理」，依照委外標的之資訊資產價值、機密性、可用性等級，適當評估其可能之威脅及弱點。 主辦單位依據上述風險評鑑結果，進行風險管理作業。 開發及維護本校「 委外廠商進行系統開發與維護時，不得任意複製或攜出本校限閱 含 等級以上之業務資料。 委外廠商需針對交付之系統，應保證系統內不含後門程式、隱密通道及特洛伊木馬程式。 帳號管理 委外最高權限帳號，由本校處理資訊單位人員保管，不直接授與委外廠商使用。 委外廠商如因作業需求，需對本校系統進行存取，應由本校人員代為「申請表」經主管核准後，由系統管理者建立獨立之供委外廠商使用委外廠商對於系統帳號應善盡保管之責，系統帳號不得任意交由非作業相關人員使用。 緊急應變計畫 資訊作業委外若涉及本校之關鍵業務時要求委外廠商配合本校定期進行業務永續經營計畫針對委外標的建立緊急應變計畫，並定期進行測試。 備援需求：依據不同資訊資產價值及可用性等級，考量其備援需求，必要時，得建立異地備援機制。 委外廠商如需可攜式電腦儲存媒體。 委外廠商應提供負責系統維護、聯絡窗口及電話詢答服務，解決系統相關事宜，並配合本校相關辦理異常排除及通報事宜，如必要應提供駐點服務。 委外廠商處理個人資料應遵守「個人資料保護法」及本校之相關規定，並簽訂「商保密切結書」。 委外廠商提供之軟體，為合法軟體，並不得違反智慧財產權之規定，如有違反事情發生，委外廠商須承擔所有法律責任。 委外廠商如因其員工執行業務之過失，造成本校損失或傷害，委外廠商需負損害賠償責任。 委外廠商人員，於支援業務時所獲知敏感等級 含 以上資訊，不得對外透露。 廠商應提供與設備主機之架構、操作、管理、維護等相關之操作手冊、文件與技術支援，如必要亦應提供教育訓練課程。委外廠商所提供之相關服務內容如有變更系統網路架構改變。使用新的技術。產品轉換至新版本。 新的開發工具及環境。 服務設備之搬遷。 更換服務提供廠商。需方能進行變更 主辦單位完成驗收後，就該次委外案執行績效，進行廠商評核作業，以為日後委外作業之參考。 本辦法經資訊安全委員會通過後實施，修正時亦同 機密等級：□一般　■限閱　□敏感　□機密