国立空中大学资讯委外服务资讯安全管理事项.PDF

國立空中大學資訊委外服務資訊安全管理事項 經98.11.10國立空中大學98學年度第1次資訊環境規劃委員會通過 經100.11.22國立空中大學100學年度第1次資訊環境規劃委員會修正通過 壹、資訊安全組織 本校資訊委外服務之承包廠商(含分包廠商)以下統稱為委外廠商，配合本校 資訊安全管理，應指定專案管理人員 ，負責督導業務相關人員並推動下列資 訊安全管理事項： 一、資訊安全政策之核定、核轉及督導。 二、資訊安全責任之分配及協調。 三、資訊資產保護事項之監督。 四、資訊安全事件之檢討及監督。 貳、 委外廠商需遵守之資訊安全控制措施說明 委外廠商必須認知遵守本校資訊安全控制措施之 義務，並接受涉及存取、處 理、通信或管理機關資訊與資訊處理設 施的各項基本責任與強制責任並配合 達到本校資訊安全要求： 一、本校資訊安全政策。 二、資產保護的控制措施，包括： (一) 保護機關資產包括資訊、軟體及硬體( ) 。 (二) 遵守任何所需的實體保護控制措施與機制。 (三) 確保不受惡意軟體攻擊的控制措施。 (四) 遵守任何資產損害發生(如資料、軟體及硬體的遺失或被修改)之 處理程序。 (五) 遵守契約終了或議定某一時間點，資訊和資產歸還或銷毀之控制 措施。 (六) 確保機關資產的機密性、完整性、可用 性與任何其他相關特性。 (七) 遵守對複製和揭露資訊，以及使用機密協議的各項限制條件。 (八) 必須參與使用者與行政管理人員在方法 、程序與安全上的教育訓 練。 (九) 委外廠商管理階層及委外人員 必須對其配合之資訊安全責任與 事宜有明確認知，同時並遵守「個人資料保護法」及本資訊安全 1    管理事項之相關規定，並應分別簽訂「委外廠商保密協議書」及 「委外廠商人員保密切結書」。 (十) 遵守本校對於委外人員調任之規定。 (十一)遵守本校軟硬體安裝與維護的相關責任。 (十二明確的通報結構和議定的通報格式。) (十三)變更管理的明確且已規定之過程。 (十四)存取控制政策，涵蓋： 1.委外廠商配合委外業務執行之存取需求必須先申請，核准授權後 在授權範圍內及有效時間內方可進行存取。 2. 必須使用核准識別符(如使用者ID 和通行碼)，並善盡保管之責。 3. 禁止所有未明確授權之存取。 4. 必須即時通報、通知資訊安全事故及安全違例事項，並配合事故 與事件之相關調查。 5.委外廠商及其委外人員必須遵 守智慧財產權及保護著作權轉讓 本校之共同著作。 6.委外廠商均應遵守本存取控制政策。 參、委外人力資源安全 委外廠商必須篩選委外人員以降低竊盜、詐欺或設施誤用的風險，並遵守契 約條款闡明廠商應負之安全責任。 一、人員派駐前 (一) 承包廠商(含分包廠商)依相關法律、法規及倫理篩選合格人員。 (二) 委外廠商派駐人員之學經歷必須遞交本校檢核並確認派駐人員 之學歷與專業資格。 (三) 本校保有對於委外廠商之派駐人員提出獨立身份檢核（護照或類 似文件）及進行銀行信用核對或犯罪紀錄檢核。 (四) 遇資訊安全事故及發生安全違例事項 ，本校授權人員得進行獨立