辦理受託業務-受託者之選任及監督
機關委外辦理資通業務時,應要求受託者具備完善的資通安全管理措施,或通過第三方驗證,故機關可評估委託規模、內容及委託標的之防護需求等級等因素,綜整考量後適當擇一要求受託方應具備之資安管控措施或要求通過第三方驗證。(詳參資安法施行細則第4條第1項第1款)。
另第三方驗證之範圍,係指受託者辦理業務之相關程序、人員、設備及環境。
除遵行機關自定之資通安全防護及控制措施所要求之項目外,機關得依委託之項目個案判斷,並可於採購、委外招標時,納入相關需求並列為評分項目。例如:
- 應用系統委外開發:可考慮廠商的開發環境是否安全,程式的測試資料是否合宜等。
- SOC監控委外:可考量蒐集的資料是否做好相當之管理及防護。
廠商的管理措施是否「完善」,係視機關委外業務之防護需求及等級而定。機關可在招標文件中述明,以作為選商的評判依據。另外,前述防護需求所需之「完善」管理措施,建議可參考資訊安全管理系統國家標準CNS27001或ISO27001之管理要求及相關資安法規之要求據以審視之;至於機關內部之單位權責分工議題,原則尊重各機關之內部行政作業與文化而定,但考量本項工作仍需仰賴資安專業,建議機關之資訊單位及資安專職人力應統籌扮演跨單位統籌及規劃之角色。
建議先查明廠商通過之第三方驗證範圍(包含人員、資安管理作業程序、資通系統、實體環境)是否已涵蓋貴機關委外之業務,另外以稽核方式確認受託業務之執行情形,確認前述第三方驗證通過及維運狀況。另外建議委託機關應先於招標文件敘明委託業務須通過第三方驗證及接受查核之要求,避免履約爭議。
第三方安全性檢測建議包含弱點掃描、滲透測試等,源碼掃描可視系統重要性及經費資源額外辦理。
另依資通安全責任等級分級辦法附表十資通系統防護基準中,針對系統與服務獲得之構面,要求系統防護需求分級為「高」之系統,須執行源碼掃描、滲透測試及弱點掃描。
- 一、如受託者辦理受託業務之相關程序及環境都在機關內,廠商應無資安法施行細則第4條第1項第1款須具備完善之資通安全管理措施或通過第三方驗證的議題。
- 二、惟採購套裝軟體或硬體,機關及委託執行業務廠商應檢視並評估相關產品供應程序有無潛在風險,進而採取必要之防護機制,以降低潛在的資安威脅及弱點。
一、依資安法施行細則第4條所定之委外注意事項,委託業務涉及客製化資通系統開發者,廠商應提供該資通系統之安全性檢測證明,包含源碼掃描、弱點掃描、滲透測試等安全檢測。(詳參資通安全責任等級分級辦法附表10資通系統防護基準–系統與服務獲得構面)。
二、前述受託業務涉及客製化核心資通系統之開發,或委託金額達新臺幣一千萬元以上者,應由委託機關自行辦理或由委託機關另行委託第三方辦理安全性檢測之複測,以確保該資通系統之安全性。