（安全管理）
組織於專案進行中應注意下列事項：
一、資訊服務供應商集中度過高者，應確認其執行資安事件識別、回應和
    緩解風險之機制。
二、外資組織因內部分工將資訊委外至總公司、國外分支機構境外處理者
    （以下稱受委託機構），應依以下辦理：
（一）組織應充分瞭解及掌握受委託機構對客戶資訊之蒐集、處理、利用
      、國際傳輸及控管情形。
（二）組織提供予受委託機構之客戶資訊僅限與受託事項直接相關之必要
      資訊。
（三）組織應要求受委託機構確實遵守以下事項：
      1.組織之客戶資訊僅限由受委託機構之獲授權人員於受託事項範圍
        內使用及處理。
      2.組織之客戶資訊應與受委託機構及其處理其他機構之資料有明確
        區隔。
      3.受委託機構處理之組織客戶資訊應能及時提供予組織。
（四）如有國際傳輸機敏資料，組織應建立加密傳輸機制且應就受委託機
      構對客戶資訊之蒐集、處理、利用、國際傳輸及控管情形確認符合
      我國個人資料保護法相關規定，傳輸前應取得當事人授權且不違反
      主管機關對國際傳輸之限制，並留存完整稽核紀錄。
三、組織應管理並定期（至少每半年一次）檢視資訊服務供應商之駐點作
    業、實體與邏輯存取權限，包含作業地點的配置、網路設備及主機連
    線、電腦與電話的使用、電腦機房的進出、門禁臨時卡的申請等。
四、組織應將進駐於組織內之資訊服務供應商人員納入組織安全管理，如
    欲使用內部網路資源時，應有安全管制措施（如透過轉接方式或另建
    網路者，應與內部網路作實體隔離）。
五、組織應要求資訊服務供應商提供駐點人員清單。