（資訊服務供應商評選）
一、組織應評估資訊委外業務項目之資通安全可行性，及資訊服務供應商
    作業能力，採取適當風險管控措施，確保業務項目委外處理之品質，
    並應注意委託資訊服務供應商之適度分散以控管作業風險，相關事項
    請參閱附件：「資訊委外之資安應注意事項檢查表」；倘集中度過高
    疑慮者（包括單一資訊服務供應商對組織或單一資訊服務供應商於市
    場整體之集中度），資訊服務供應商選定，應執行風險評估，評估結
    果應提報適當管理層級並取得同意。
二、組織評選資訊服務供應商之準則應包含下列各項，並留存相關文件紀
    錄備查：
（一）資訊服務供應商之財務能力、管理能力、專業能力、維運能力及經
      驗實績。
（二）雲端運算服務供應商應具備完善之雲端運算資通安全管理措施（提
      供管理措施與執行情形說明）或通過第三方驗證（例如：CSA STAR
      、ISO 27017、ISO 27018）。
（三）第一類組織之資訊服務供應商應具備完善之資通安全管理措施（提
      供管理措施與執行情形說明）或通過第三方驗證（例如：ISO
      27001 ）。

（保密協議書準備與簽訂）
當選商過程中存在資訊資產交換，組織應備妥保密協議書，並於交換與採
購產品或服務相關之機敏性資訊前簽署。

（建議書徵求文件）
第一類組織對其所規定之大型採購案應要求資訊服務供應商提供建議書，
並確認建議書內容是否符合採購需求。建議書中應包含下列項目：
一、組織採購需求產品/服務。
二、資訊服務供應商應符合之組織資安要求（例如：組織資安政策）。
三、資訊服務供應商之專案管理能力。