跳到主要內容
網站顏色切換 深色模式
進階搜尋
關閉搜尋
:::

辦理受託業務-受託者之選任及監督

資安法施行細則第4條訂有委外前受託者之選任及委外後受託者之監督等事項,建議機關於辦理委外案前,即應了解法規事項,並透過契約規範及專案管理落實本法規定。

資安法施行後,機關應依資安法施行細則第4條所定之委外注意事項,檢視現行委外作業之適法性,如有須調整者,建議透過專案管理或變更契約等方式辦理。

機關委外辦理資通業務時,應要求受託者具備完善的資通安全管理措施,或通過第三方驗證,故機關可評估委託規模、內容及委託標的之防護需求等級等因素,綜整考量後適當擇一要求受託方應具備之資安管控措施或要求通過第三方驗證。(詳參資安法施行細則第4條第1項第1款)。

另第三方驗證之範圍,係指受託者辦理業務之相關程序、人員、設備及環境。

除遵行機關自定之資通安全防護及控制措施所要求之項目外,機關得依委託之項目個案判斷,並可於採購、委外招標時,納入相關需求並列為評分項目。例如:

  1. 應用系統委外開發:可考慮廠商的開發環境是否安全,程式的測試資料是否合宜等。
  2. SOC監控委外:可考量蒐集的資料是否做好相當之管理及防護。

廠商的管理措施是否「完善」,係視機關委外業務之防護需求及等級而定。機關可在招標文件中述明,以作為選商的評判依據。另外,前述防護需求所需之「完善」管理措施,建議可參考資訊安全管理系統國家標準CNS27001或ISO27001之管理要求及相關資安法規之要求據以審視之;至於機關內部之單位權責分工議題,原則尊重各機關之內部行政作業與文化而定,但考量本項工作仍需仰賴資安專業,建議機關之資訊單位及資安專職人力應統籌扮演跨單位統籌及規劃之角色。

建議先查明廠商通過之第三方驗證範圍(包含人員、資安管理作業程序、資通系統、實體環境)是否已涵蓋貴機關委外之業務,另外以稽核方式確認受託業務之執行情形,確認前述第三方驗證通過及維運狀況。另外建議委託機關應先於招標文件敘明委託業務須通過第三方驗證及接受查核之要求,避免履約爭議。

委外開發之資通系統如屬委託機關之核心資通系統,或委託案件金額在一千萬元以上,委託機關應自行或另行委託第三方進行安全性檢測。

第三方安全性檢測建議包含弱點掃描、滲透測試等,源碼掃描可視系統重要性及經費資源額外辦理。

另依資通安全責任等級分級辦法附表十資通系統防護基準中,針對系統與服務獲得之構面,要求系統防護需求分級為「高」之系統,須執行源碼掃描、滲透測試及弱點掃描。

  • 一、如受託者辦理受託業務之相關程序及環境都在機關內,廠商應無資安法施行細則第4條第1項第1款須具備完善之資通安全管理措施或通過第三方驗證的議題。
  • 二、惟採購套裝軟體或硬體,機關及委託執行業務廠商應檢視並評估相關產品供應程序有無潛在風險,進而採取必要之防護機制,以降低潛在的資安威脅及弱點。

受託業務包括客製化資通系統開發者之委託金額達一千萬元以上者,係指該採購案之採購金額,並未再區分軟硬體或服務之金額。

一、依資安法施行細則第4條所定之委外注意事項,委託業務涉及客製化資通系統開發者,廠商應提供該資通系統之安全性檢測證明,包含源碼掃描、弱點掃描、滲透測試等安全檢測。(詳參資通安全責任等級分級辦法附表10資通系統防護基準–系統與服務獲得構面)。

二、前述受託業務涉及客製化核心資通系統之開發,或委託金額達新臺幣一千萬元以上者,應由委託機關自行辦理或由委託機關另行委託第三方辦理安全性檢測之複測,以確保該資通系統之安全性。

11筆資料
返回頁面頂端