(資訊服務供應商合約安全控管)
一、組織與資訊服務供應商,雙方應協議並確定合約內容。合約應包含下
列各項:
(一)合約基本要求
1.合約期限。
2.服務範圍。
3.服務交付日期。
4.服務水準要求(如為一年期以上提供性質者,如:軟硬體維護合
約、系統委外管理等,資訊服務供應商應依合約要求,定期提交
服務水準報告)
5.服務變更規範。
6.服務驗收之標準。
7.資通安全事件處置程序(含當發生資安事故時,受託廠商應主動
、即時通知委託人)。
8.對資訊服務供應商之稽核權條款(含受委託機構就受託事項範圍
,同意主管機關及中央銀行得取得相關資料或報告,及進行金融
檢查,或得命令其於限期內提供相關資料或報告)。
9.合約轉讓或同意分包之規範。
10.保密義務條款。
11.罰則與損害賠償條款。
12.爭議處理程序。
13.違約處理條款。
14.合約終止規範(含合約終止之重大事由,應包括主管機關通知依
契約終止或解約之條款)。
15.合約終止後之處理。
16.保固。
17.權利及責任。
(二)資訊服務供應商服務與產品要求
1.組織應載明資訊委外服務或產品之智慧財產權。
2.組織應載明是否允許資訊委外服務或產品分包予其他供應商,如
允許,資訊服務供應商應提供分包計畫並經組織同意後始可進行
。
3.第一類組織應載明採購之服務與產品於規劃設計時納入資通安全
機制(Security by design)之要求。資通安全機制設計應包含
服務與產品之機敏資料保護、授權與認證、安全性更新等。
4.第一類組織應載明採購之服務與產品於規劃設計時納入隱私保護
機制(Privacy by design)之要求。
(三)服務範圍涉及資通系統開發、維護與監控,組織應載明要求資訊服
務供應商應遵循「證券暨期貨市場各服務事業資通系統安全防護基
準參考指引」辦理。
(四)服務範圍涉及使用雲端運算服務,組織應載明要求資訊服務供應商
應遵循「證券期貨市場相關公會新興科技資訊安全管控指引」辦理
。
(五)資訊服務供應商資安要求
1.組織應載明資訊服務供應商應遵循之資安要求事項、個人資料保
護法與其他相關法規遵循與保密義務。
2.組織應載明資訊委外作業範圍內,組織與資訊服務供應商雙方之
資安角色與責任。
3.組織應載明資訊服務供應商應提供安全性檢測證明(如行動應用
程式資安檢測、源碼檢測、弱點掃描等),並應確保交付之系統
或程式無惡意程式及後門程式,其放置於網際網路之程式應通過
程式碼掃描或黑箱測試。
4.組織應載明要求資訊服務供應商揭露第三方程式元件之來源與授
權證明。
5.組織應載明要求資訊服務供應商處理之組織委託服務各項範圍資
訊,能於組織要求期限內提供。
6.組織應載明服務變更或資通安全事件之資訊服務供應商處置程序
。
7.組織應載明要求資訊服務供應商於知悉存有任何潛在問題和危害
(如:於其他客戶端發生重大系統異常),且其可能影響受託業
務時,立即通知組織並採取相關補救措施。
8.第一類組織應載明資訊委外作業範圍內,組織之資訊應與資訊服
務供應商及其處理其他組織之資料有明確區隔,並應予以加密保
護。
9.第一類組織應載明資訊服務供應商應取得之資安及品質證照。
二、組織應於簽約程序中確認資訊服務供應商保密切結事宜之完成度。
|