（雲端服務提供者選擇與盡職調查）
一、組織應依所使用之雲端服務模式，對雲端服務提供者執行盡職調查及
    定期審查程序，評估雲端服務提供者之服務水準、備援機制、資料銷
    毀機制、資源邏輯區隔機制、日誌留存機制、資通安全防護能力、資
    通安全事件通報責任管理、業務持續運作與災難復原能力、受託業務
    之專業知識與資源、財務健全、內部控制及符合法規要求等項目是否
    可符合需求，若有不符合需求之處，應考量其他補償性措施。
二、委由雲端服務提供者處理之資料，組織應保有完整所有權，除執行受
    託作業外，應確保雲端服務提供者不得有存取客戶資料之權限，並不
    得為委託範圍以外之利用。
三、組織為確保於服務結束時，可將系統遷移或資料遷出雲端服務，應評
    估雲端服務提供者可滿足下列雲端互通性和可移植性需求：
（一）雲端服務提供者可提出應用程式及資訊處理之互通性與可移植性需
      求說明文件供組織參考。
（二）雲端服務提供者使用業界常見之虛擬化平台、虛擬機檔案格式、資
      料檔案格式，以確保互通性。
（三）雲端服務若涉及應用程式介面存取服務，雲端服務提供者宜使用開
      放或已公開之應用程式介面（API ），以確保應用程式元件可以較
      容易地轉移。