（資訊服務供應商合約安全控管）
一、組織與資訊服務供應商，雙方應協議並確定合約內容。合約應包含下
    列各項：
（一）合約基本要求
      1.合約期限。
      2.服務範圍。
      3.服務交付日期。
      4.服務水準要求（如為一年期以上提供性質者，如：軟硬體維護合
        約、系統委外管理等，資訊服務供應商應依合約要求，定期提交
        服務水準報告）
      5.服務變更規範。
      6.服務驗收之標準。
      7.資通安全事件處置程序（含當發生資安事故時，受託廠商應主動
        、即時通知委託人）。
      8.對資訊服務供應商之稽核權條款（含受委託機構就受託事項範圍
        ，同意主管機關及中央銀行得取得相關資料或報告，及進行金融
        檢查，或得命令其於限期內提供相關資料或報告）。
      9.合約轉讓或同意分包之規範。
     10.保密義務條款。
     11.罰則與損害賠償條款。
     12.爭議處理程序。
     13.違約處理條款。
     14.合約終止規範（含合約終止之重大事由，應包括主管機關通知依
        契約終止或解約之條款）。
     15.合約終止後之處理。
     16.保固。
     17.權利及責任。
（二）資訊服務供應商服務與產品要求
      1.組織應載明資訊委外服務或產品之智慧財產權。
      2.組織應載明是否允許資訊委外服務或產品分包予其他供應商，如
        允許，資訊服務供應商應提供分包計畫並經組織同意後始可進行
        。
      3.第一類組織應載明採購之服務與產品於規劃設計時納入資通安全
        機制（Security by design）之要求。資通安全機制設計應包含
        服務與產品之機敏資料保護、授權與認證、安全性更新等。
      4.第一類組織應載明採購之服務與產品於規劃設計時納入隱私保護
        機制（Privacy by design）之要求。
（三）服務範圍涉及資通系統開發、維護與監控，組織應載明要求資訊服
      務供應商應遵循「證券暨期貨市場各服務事業資通系統安全防護基
      準參考指引」辦理。
（四）服務範圍涉及使用雲端運算服務，組織應載明要求資訊服務供應商
      應遵循「證券期貨市場相關公會新興科技資訊安全管控指引」辦理
      。
（五）資訊服務供應商資安要求
      1.組織應載明資訊服務供應商應遵循之資安要求事項、個人資料保
        護法與其他相關法規遵循與保密義務。
      2.組織應載明資訊委外作業範圍內，組織與資訊服務供應商雙方之
        資安角色與責任。
      3.組織應載明資訊服務供應商應提供安全性檢測證明（如行動應用
        程式資安檢測、源碼檢測、弱點掃描等），並應確保交付之系統
        或程式無惡意程式及後門程式，其放置於網際網路之程式應通過
        程式碼掃描或黑箱測試。
      4.組織應載明要求資訊服務供應商揭露第三方程式元件之來源與授
        權證明。
      5.組織應載明要求資訊服務供應商處理之組織委託服務各項範圍資
        訊，能於組織要求期限內提供。
      6.組織應載明服務變更或資通安全事件之資訊服務供應商處置程序
        。
      7.組織應載明要求資訊服務供應商於知悉存有任何潛在問題和危害
        （如：於其他客戶端發生重大系統異常），且其可能影響受託業
        務時，立即通知組織並採取相關補救措施。
      8.第一類組織應載明資訊委外作業範圍內，組織之資訊應與資訊服
        務供應商及其處理其他組織之資料有明確區隔，並應予以加密保
        護。
      9.第一類組織應載明資訊服務供應商應取得之資安及品質證照。
二、組織應於簽約程序中確認資訊服務供應商保密切結事宜之完成度。