(資訊服務供應商存取風險之辨識)
資訊服務供應商需存取組織資訊資產、營業秘密時,專案負責人應考慮以
下各項因素評估風險:
一、應符合法規或主管機關之規定,並依據委託事項所需以最小權限及資
訊最小揭露原則進行安全管控設計。
二、組織資訊資產與營業秘密之存取控管,應考慮取得、使用、保管、查
詢、修改、調整、銷毀之管控措施。
三、資訊服務供應商之保護責任:
(一)組織應要求資訊服務供應商對於資訊之存取控制措施不得低於與組
織協議之規定,及「營業秘密法」第七條第一項及第二項。
(二)組織應要求資訊服務供應商保證該資訊資產、營業秘密之使用,僅
限於原申請範圍。
|