編章節內容

名  稱:

證券暨期貨市場各服務事業資通系統與服務供應鏈風險管理參考指引 

Reference Guidelines on the Supply Chain Risk Management of Service Enterprises in Securities and Futures Markets

修正日期: 民國 113 年 11 月 07 日
主題分類: 資訊作業
   第 二 章 資訊服務供應商遴選
第 4 條
(資訊服務供應商評選)
一、組織應針對資訊委外業務項目之資通安全風險與委外作業可行性,及
    資訊服務供應商作業能力執行風險評估,評估結果應提報適當管理層
    級並取得同意,內容應包含:
(一)分析資訊委外業務項目受影響之範圍(如:可能受影響之資訊資產
      、流程及作業環境)。
(二)將資訊委外業務項目之資通安全要求列入成本估算(如:安全性檢
      測行動應用程式資安檢測、源碼檢測、弱點掃描等)。
(三)資訊服務供應商對資訊委外業務項目之資通安全管控機制(如:資
      料管理、權限控管、設備管理等)。
(四)資訊服務供應商之服務集中度(包括單一資訊服務供應商對組織或
      單一資訊服務供應商於市場整體之集中度)。
(五)資訊服務供應商與其提供產品或服務位置。
(六)資訊委外業務項目屬核心系統或跨機構資訊服務,應分析資訊服務
      供應商配合組織營運持續與資通安全事件處理之目標與要求。
二、組織應依前項風險評估結果採取適當風險管控措施,確保業務項目委
    外處理之品質,相關事項請參閱附件:「資訊委外之資安應注意事項
    檢查表」。
三、組織資訊委外業務項目屬核心系統,組織與資訊服務供應商應有資訊
    安全人員參與,以協助管理資訊安全風險。
四、組織評選資訊服務供應商之準則應包含下列各項,並留存相關文件紀
    錄備查:
(一)資訊服務供應商之財務能力、管理能力、專業能力、維運能力及經
      驗實績。
(二)雲端服務供應商應具備完善之雲端資通安全管理措施(提供管理措
      施與執行情形說明)或通過第三方驗證(例如:CSA STAR、ISO270
      17、ISO27018)。
(三)第一類組織之資訊服務供應商應具備完善之資通安全管理措施(提
      供管理措施與執行情形說明)或通過第三方驗證(例如:ISO27001
      )。
相關資訊
第 5 條
(保密協議書準備與簽訂)
當選商過程中存在資訊資產交換,組織應備妥保密協議書,並於交換與採
購產品或服務相關之機敏性資訊前簽署。
第 6 條
(建議書徵求文件)
第一類組織對其所規定之大型採購案應要求資訊服務供應商提供建議書,
並確認建議書內容是否符合採購需求。建議書中應包含下列項目:
一、組織採購需求產品/服務。
二、資訊服務供應商應符合之組織資安要求與服務水準要求(例如:組織
    資安政策)。
三、資訊服務供應商之專案管理能力。