(資訊服務供應商服務審核與稽核)
一、組織資訊委外作業如為一年期以上提供性質者,如:軟硬體維護合約
、系統委外管理等,資訊服務供應商應依合約要求,定期提交服務水
準報告,交由組織審核備查。
二、組織應建立對資訊服務供應商之資訊委外服務資通安全監督之程序;
倘資訊委外作業屬核心系統,應明訂資通安全稽核之方式、頻率,與
稽核結果之改善追蹤機制。
三、組織於資訊委外期間應定期或於知悉資訊服務供應商發生可能影響受
託業務之資通安全事件時,組織或組織授權之第三方以稽核或其他適
當方式確認受託業務之執行情形。
|