（資訊服務供應商評選）
一、組織應評估資訊委外業務項目之資通安全可行性，及資訊服務供應商
    作業能力，採取適當風險管控措施，確保業務項目委外處理之品質，
    並應注意委託資訊服務供應商之適度分散以控管作業風險，相關事項
    請參閱附件：「資訊委外之資安應注意事項檢查表」；倘集中度過高
    疑慮者（包括單一資訊服務供應商對組織或單一資訊服務供應商於市
    場整體之集中度），資訊服務供應商選定，應執行風險評估，評估結
    果應提報適當管理層級並取得同意。
二、組織評選資訊服務供應商之準則應包含下列各項，並留存相關文件紀
    錄備查：
（一）資訊服務供應商之財務能力、管理能力、專業能力、維運能力及經
      驗實績。
（二）雲端運算服務供應商應具備完善之雲端運算資通安全管理措施（提
      供管理措施與執行情形說明）或通過第三方驗證（例如：CSA STAR
      、ISO 27017、ISO 27018）。
（三）第一類組織之資訊服務供應商應具備完善之資通安全管理措施（提
      供管理措施與執行情形說明）或通過第三方驗證（例如：ISO
      27001 ）。

（資訊服務供應商合約安全控管）
一、組織與資訊服務供應商，雙方應協議並確定合約內容。合約應包含下
    列各項：
（一）合約基本要求
      1.合約期限。
      2.服務範圍。
      3.服務交付日期。
      4.服務水準要求（如為一年期以上提供性質者，如：軟硬體維護合
        約、系統委外管理等，資訊服務供應商應依合約要求，定期提交
        服務水準報告）
      5.服務變更規範。
      6.服務驗收之標準。
      7.資通安全事件處置程序（含當發生資安事故時，受託廠商應主動
        、即時通知委託人）。
      8.對資訊服務供應商之稽核權條款（含受委託機構就受託事項範圍
        ，同意主管機關及中央銀行得取得相關資料或報告，及進行金融
        檢查，或得命令其於限期內提供相關資料或報告）。
      9.合約轉讓或同意分包之規範。
     10.保密義務條款。
     11.罰則與損害賠償條款。
     12.爭議處理程序。
     13.違約處理條款。
     14.合約終止規範（含合約終止之重大事由，應包括主管機關通知依
        契約終止或解約之條款）。
     15.合約終止後之處理。
     16.保固。
     17.權利及責任。
（二）資訊服務供應商服務與產品要求
      1.組織應載明資訊委外服務或產品之智慧財產權。
      2.組織應載明是否允許資訊委外服務或產品分包予其他供應商，如
        允許，資訊服務供應商應提供分包計畫並經組織同意後始可進行
        。
      3.第一類組織應載明採購之服務與產品於規劃設計時納入資通安全
        機制（Security by design）之要求。資通安全機制設計應包含
        服務與產品之機敏資料保護、授權與認證、安全性更新等。
      4.第一類組織應載明採購之服務與產品於規劃設計時納入隱私保護
        機制（Privacy by design）之要求。
（三）服務範圍涉及資通系統開發、維護與監控，組織應載明要求資訊服
      務供應商應遵循「證券暨期貨市場各服務事業資通系統安全防護基
      準參考指引」辦理。
（四）服務範圍涉及使用雲端運算服務，組織應載明要求資訊服務供應商
      應遵循「證券期貨市場相關公會新興科技資訊安全管控指引」辦理
      。
（五）資訊服務供應商資安要求
      1.組織應載明資訊服務供應商應遵循之資安要求事項、個人資料保
        護法與其他相關法規遵循與保密義務。
      2.組織應載明資訊委外作業範圍內，組織與資訊服務供應商雙方之
        資安角色與責任。
      3.組織應載明資訊服務供應商應提供安全性檢測證明（如行動應用
        程式資安檢測、源碼檢測、弱點掃描等），並應確保交付之系統
        或程式無惡意程式及後門程式，其放置於網際網路之程式應通過
        程式碼掃描或黑箱測試。
      4.組織應載明要求資訊服務供應商揭露第三方程式元件之來源與授
        權證明。
      5.組織應載明要求資訊服務供應商處理之組織委託服務各項範圍資
        訊，能於組織要求期限內提供。
      6.組織應載明服務變更或資通安全事件之資訊服務供應商處置程序
        。
      7.組織應載明要求資訊服務供應商於知悉存有任何潛在問題和危害
        （如：於其他客戶端發生重大系統異常），且其可能影響受託業
        務時，立即通知組織並採取相關補救措施。
      8.第一類組織應載明資訊委外作業範圍內，組織之資訊應與資訊服
        務供應商及其處理其他組織之資料有明確區隔，並應予以加密保
        護。
      9.第一類組織應載明資訊服務供應商應取得之資安及品質證照。
二、組織應於簽約程序中確認資訊服務供應商保密切結事宜之完成度。

（安全管理）
組織於專案進行中應注意下列事項：
一、資訊服務供應商集中度過高者，應確認其執行資安事件識別、回應和
    緩解風險之機制。
二、外資組織因內部分工將資訊委外至總公司、國外分支機構境外處理者
    （以下稱受委託機構），應依以下辦理：
（一）組織應充分瞭解及掌握受委託機構對客戶資訊之蒐集、處理、利用
      、國際傳輸及控管情形。
（二）組織提供予受委託機構之客戶資訊僅限與受託事項直接相關之必要
      資訊。
（三）組織應要求受委託機構確實遵守以下事項：
      1.組織之客戶資訊僅限由受委託機構之獲授權人員於受託事項範圍
        內使用及處理。
      2.組織之客戶資訊應與受委託機構及其處理其他機構之資料有明確
        區隔。
      3.受委託機構處理之組織客戶資訊應能及時提供予組織。
（四）如有國際傳輸機敏資料，組織應建立加密傳輸機制且應就受委託機
      構對客戶資訊之蒐集、處理、利用、國際傳輸及控管情形確認符合
      我國個人資料保護法相關規定，傳輸前應取得當事人授權且不違反
      主管機關對國際傳輸之限制，並留存完整稽核紀錄。
三、組織應管理並定期（至少每半年一次）檢視資訊服務供應商之駐點作
    業、實體與邏輯存取權限，包含作業地點的配置、網路設備及主機連
    線、電腦與電話的使用、電腦機房的進出、門禁臨時卡的申請等。
四、組織應將進駐於組織內之資訊服務供應商人員納入組織安全管理，如
    欲使用內部網路資源時，應有安全管制措施（如透過轉接方式或另建
    網路者，應與內部網路作實體隔離）。
五、組織應要求資訊服務供應商提供駐點人員清單。