（資訊服務供應商合約安全控管）
一、組織與資訊服務供應商，雙方應協議並確定合約內容。合約應包含下
    列各項：
（一）合約基本要求
      1.合約期限。
      2.服務範圍。
      3.服務交付日期。
      4.服務水準要求（如為一年期以上提供性質者，如：軟硬體維護合
        約、系統委外管理等，資訊服務供應商應依合約要求，定期提交
        服務水準報告）
      5.服務變更規範。
      6.服務驗收之標準。
      7.資通安全事件處置程序（含當發生資安事故時，受託廠商應主動
        、即時通知委託人）。
      8.對資訊服務供應商之稽核權條款（含受委託機構就受託事項範圍
        ，同意主管機關及中央銀行得取得相關資料或報告，及進行金融
        檢查，或得命令其於限期內提供相關資料或報告）。
      9.合約轉讓或同意分包之規範。
     10.保密義務條款。
     11.罰則與損害賠償條款。
     12.爭議處理程序。
     13.違約處理條款。
     14.合約終止規範（含合約終止之重大事由，應包括主管機關通知依
        契約終止或解約之條款）。
     15.合約終止後之處理。
     16.保固。
     17.權利及責任。
（二）資訊服務供應商服務與產品要求
      1.組織應載明資訊委外服務或產品之智慧財產權。
      2.組織應載明是否允許資訊委外服務或產品分包予其他供應商，如
        允許，資訊服務供應商應提供分包計畫並經組織同意後始可進行
        。
      3.第一類組織應載明採購之服務與產品於規劃設計時納入資通安全
        機制（Security by design）之要求。資通安全機制設計應包含
        服務與產品之機敏資料保護、授權與認證、安全性更新等。
      4.第一類組織應載明採購之服務與產品於規劃設計時納入隱私保護
        機制（Privacy by design）之要求。
（三）服務範圍涉及資通系統開發、維護與監控，組織應載明要求資訊服
      務供應商應遵循「證券暨期貨市場各服務事業資通系統安全防護基
      準參考指引」辦理。
（四）服務範圍涉及使用雲端運算服務，組織應載明要求資訊服務供應商
      應遵循「證券期貨市場相關公會新興科技資訊安全管控指引」辦理
      。
（五）資訊服務供應商資安要求
      1.組織應載明資訊服務供應商應遵循之資安要求事項、個人資料保
        護法與其他相關法規遵循與保密義務。
      2.組織應載明資訊委外作業範圍內，組織與資訊服務供應商雙方之
        資安角色與責任。
      3.組織應載明資訊服務供應商應提供安全性檢測證明（如行動應用
        程式資安檢測、源碼檢測、弱點掃描等），並應確保交付之系統
        或程式無惡意程式及後門程式，其放置於網際網路之程式應通過
        程式碼掃描或黑箱測試。
      4.組織應載明要求資訊服務供應商揭露第三方程式元件之來源與授
        權證明。
      5.組織應載明要求資訊服務供應商處理之組織委託服務各項範圍資
        訊，能於組織要求期限內提供。
      6.組織應載明服務變更或資通安全事件之資訊服務供應商處置程序
        。
      7.組織應載明要求資訊服務供應商於知悉存有任何潛在問題和危害
        （如：於其他客戶端發生重大系統異常），且其可能影響受託業
        務時，立即通知組織並採取相關補救措施。
      8.第一類組織應載明資訊委外作業範圍內，組織之資訊應與資訊服
        務供應商及其處理其他組織之資料有明確區隔，並應予以加密保
        護。
      9.第一類組織應載明資訊服務供應商應取得之資安及品質證照。
二、組織應於簽約程序中確認資訊服務供應商保密切結事宜之完成度。

（資訊服務供應商存取管理）
一、組織之專案負責人應向資訊服務供應商告知組織之資訊安全相關規範
    ，並經組織權限申請程序申請，始可賦予資訊服務供應商存取組織之
    資訊資產權限，以保護組織資訊資產。
二、組織應對資訊服務供應商人員電腦通行使用權利進行適當控管；組織
    應於委外期間結束後立即收回該項權利。

（資訊服務供應商存取風險之辨識）
資訊服務供應商需存取組織資訊資產、營業秘密時，專案負責人應考慮以
下各項因素評估風險：
一、應符合法規或主管機關之規定，並依據委託事項所需以最小權限及資
    訊最小揭露原則進行安全管控設計。
二、組織資訊資產與營業秘密之存取控管，應考慮取得、使用、保管、查
    詢、修改、調整、銷毀之管控措施。
三、資訊服務供應商之保護責任：
（一）組織應要求資訊服務供應商對於資訊之存取控制措施不得低於與組
      織協議之規定，及「營業秘密法」第七條第一項及第二項。
（二）組織應要求資訊服務供應商保證該資訊資產、營業秘密之使用，僅
      限於原申請範圍。

（安全管理）
組織於專案進行中應注意下列事項：
一、資訊服務供應商集中度過高者，應確認其執行資安事件識別、回應和
    緩解風險之機制。
二、外資組織因內部分工將資訊委外至總公司、國外分支機構境外處理者
    （以下稱受委託機構），應依以下辦理：
（一）組織應充分瞭解及掌握受委託機構對客戶資訊之蒐集、處理、利用
      、國際傳輸及控管情形。
（二）組織提供予受委託機構之客戶資訊僅限與受託事項直接相關之必要
      資訊。
（三）組織應要求受委託機構確實遵守以下事項：
      1.組織之客戶資訊僅限由受委託機構之獲授權人員於受託事項範圍
        內使用及處理。
      2.組織之客戶資訊應與受委託機構及其處理其他機構之資料有明確
        區隔。
      3.受委託機構處理之組織客戶資訊應能及時提供予組織。
（四）如有國際傳輸機敏資料，組織應建立加密傳輸機制且應就受委託機
      構對客戶資訊之蒐集、處理、利用、國際傳輸及控管情形確認符合
      我國個人資料保護法相關規定，傳輸前應取得當事人授權且不違反
      主管機關對國際傳輸之限制，並留存完整稽核紀錄。
三、組織應管理並定期（至少每半年一次）檢視資訊服務供應商之駐點作
    業、實體與邏輯存取權限，包含作業地點的配置、網路設備及主機連
    線、電腦與電話的使用、電腦機房的進出、門禁臨時卡的申請等。
四、組織應將進駐於組織內之資訊服務供應商人員納入組織安全管理，如
    欲使用內部網路資源時，應有安全管制措施（如透過轉接方式或另建
    網路者，應與內部網路作實體隔離）。
五、組織應要求資訊服務供應商提供駐點人員清單。

（服務變更管理）
資訊服務供應商服務內容變更若對資訊安全有所衝擊時，組織專案負責人
應重新對資訊服務供應商變更之服務內容進行風險評估。（例如：機密性
、完整性、可用性之衝擊分析、ISO 27001 風險評鑑）

（資訊服務供應商服務審核）
一、組織於資訊委外期間應定期（每年至少一次）與認為有進行監控與稽
    核之必要時，組織或組織授權之第三方得對資訊服務供應商進行稽核
    。
二、組織資訊委外作業如為一年期以上提供性質者，如：軟硬體維護合約
    、系統委外管理等，資訊服務供應商應依合約要求，定期提交服務水
    準報告，交由組織審核備查。