（資訊服務供應商評選）
一、組織應針對資訊委外業務項目之資通安全風險與委外作業可行性，及
    資訊服務供應商作業能力執行風險評估，評估結果應提報適當管理層
    級並取得同意，內容應包含：
（一）分析資訊委外業務項目受影響之範圍（如：可能受影響之資訊資產
      、流程及作業環境）。
（二）將資訊委外業務項目之資通安全要求列入成本估算（如：安全性檢
      測行動應用程式資安檢測、源碼檢測、弱點掃描等）。
（三）資訊服務供應商對資訊委外業務項目之資通安全管控機制（如：資
      料管理、權限控管、設備管理等）。
（四）資訊服務供應商之服務集中度（包括單一資訊服務供應商對組織或
      單一資訊服務供應商於市場整體之集中度）。
（五）資訊服務供應商與其提供產品或服務位置。
（六）資訊委外業務項目屬核心系統或跨機構資訊服務，應分析資訊服務
      供應商配合組織營運持續與資通安全事件處理之目標與要求。
二、組織應依前項風險評估結果採取適當風險管控措施，確保業務項目委
    外處理之品質，相關事項請參閱附件：「資訊委外之資安應注意事項
    檢查表」。
三、組織資訊委外業務項目屬核心系統，組織與資訊服務供應商應有資訊
    安全人員參與，以協助管理資訊安全風險。
四、組織評選資訊服務供應商之準則應包含下列各項，並留存相關文件紀
    錄備查：
（一）資訊服務供應商之財務能力、管理能力、專業能力、維運能力及經
      驗實績。
（二）雲端服務供應商應具備完善之雲端資通安全管理措施（提供管理措
      施與執行情形說明）或通過第三方驗證（例如：CSA STAR、ISO270
      17、ISO27018）。
（三）第一類組織之資訊服務供應商應具備完善之資通安全管理措施（提
      供管理措施與執行情形說明）或通過第三方驗證（例如：ISO27001
      ）。