委外作业管理程序书-中州科技大学.docxVIP

中州科技大學 Chung Chou University of Science and Technology 文件編號 ISMS-P-018 文件名稱 委外作業管理程序書 機密等級 內部使用 版　　次 A 頁次 1 / 10 管理系統文件 文件類別 第 二 階 文 件 文件編號 ISMS-P-018 文件名稱 委外作業管理程序書 發行單位 文 件 管 制 小 組 發行日期 103 年 12 月 01 日 版次 A 訂修廢單位 審 查 核 准 資通安全處理小組 （原版簽名頁保存於文件管制小組） 中州科技大學 Chung Chou University of Science and Technology 文件編號 ISMS-P-018 文件名稱 委外作業管理程序書 機密等級 內部使用 版　　次 A 頁次 2 / 10 訂 修 廢 記 錄 版次 發行日期 訂 修 廢 內 容 摘 要 A 103/12/01 初版發行 中州科技大學 Chung Chou University of Science and Technology 文件編號 ISMS-P-018 文件名稱 委外作業管理程序書 機密等級 內部使用 版　　次 A 頁次 3 / 10 1. 目的 為促使本校委外廠商及委外廠商人員在本校進行各項委託業務作業及存 取資訊時，有一明確的安全規範，以確保本校資料的機密性，維護資訊委 外作業之安全，特制定本程序書。 2. 適用範圍 凡本校各項業務委外處理作業，以及委外服務廠商透過遠端方式進行系 統維護、外部單位駐點人員與外單位訪客使用本校內部網路或作業過程 中與外單位交換資料之委外作業，均適用本程序書。 3. 參考文件 3.1. ISMS-P-011 實體與環境安全管理程序書。 3.2. ISMS-P-003 資訊資產管理程序書。 3.3. ISMS-P-013 帳號密碼及存取控制管理程序書。 3.4. ISMS-P-009 資訊安全事件管理程序書。 5. ISMS-P-008 矯正及預防管理程序書。 名詞定義 4.1.  委外 依據契約協議，將某項服務的持續管理責任轉嫁第三者執行，本校負 有監督管理責任。 中州科技大學 Chung Chou University of Science and Technology 文件編號 ISMS-P-018 文件名稱 委外作業管理程序書 機密等級 內部使用 版　　次 A 頁次 4 / 10 5. 作業內容 5.1.  委外作業管理流程圖 作業流程 權責單位 相關表單 付付付付付付 No 付 付 付 付 付 Yes 付付付付付付付付 付付付付付付付付 付付付付付付 No 付付付付付付付 付 付 Yes 付付付付 付 付 付 付 需求單位 權責單位 需求單位 資通安全處理小組 委外廠商 專案相關外部人員 委外廠商 資通安全處理小組 權責單位 權責單位 相關業務承辦人員 評選標準 委外廠商保密協議書 委外廠商人員保密切結書 委外廠商資安規範查核表 管制區域進出管制登記表 會議紀錄單 驗收相關文件 中州科技大學 Chung Chou University of Science and Technology 文件編號 ISMS-P-018 文件名稱 委外作業管理程序書 機密等級 內部使用 版　　次 A 頁次 5 / 10 5.2.  提出委外服務需求 5.2.1. 本校因業務需求提出資訊委外服務時，若發生下列之情事者，即 可進行適當之評估及考量將業務委外辦理。 5.2.1.1. 5.2.1.2. 5.2.1.3. 5.2.1.4.  限於專業技術或人力無法自行辦理。 自行辦理難以滿足時效要求。 自行辦理不符經濟成本效益。 其他相關環境條件無法配合。 5.2.2. 經需求單位評估後需提出業務委外時，應擬妥簽呈並檢附需求規 格，詳載業務委外各項之服務需求後提出申請。 5.3. 5.4. 5.5.  評估及審核 需求單位將委外需求簽呈及相關附件會相關權責單位審核，若審核 通過則移由事務組依本校採購相關規定辦理採購。 遴選委外服務廠商 辦理業務委外時，由需求單位參考政府採購法及本校相關廠商評選 辦法遴選合格的供應廠商。 委外服務執行管理 5.5.1. 一般條款 5.5.1.1. 5.5.1.2. 5.5.1.3.  應要求委外廠商遵循本校資安政策與資安目標，恪守本校資 訊安全管理制度（ISMS）各項作業規範及相關法規之要求。 委外廠商執行業務上若有複委託之需求，應事前取得本校之 同意，委外廠商應對複委託廠商依本校資訊安全管理制度 （ISMS）相關規定進行適當之監督與管理。 委外廠商及其複委託廠商於執行本校資通訊技術服務與產 品業務時，應對所承接之業務所涉及之資訊資產或服務，進 行風險評鑑並提出相關紀錄，本