資通系統安全管理
依據資通安全責任等級分級辦法第11條規定:
各機關自行或委外開發之資通系統,
(1)應依附表九所定資通系統防護需求分級原則,完成資通系統分級;
(2)並依附表十所定資通系統防護基準,執行控制措施。
需求規劃階段
因此,無論是自行或委外開發之資通系統,業務單位在(採購前)需求規劃階段,即需要依附表九所定資通系統防護需求分級原則,評估資通系統安全(防護需求)等級(普、中、高)。
>>產出【安全等級評估表】
開發階段
業務單位或廠商開發過程中,需依據前面評估後之系統等級,
依附表十所定資通系統防護基準,完成對應等級之控制措施。
>>產出【資通系統防護基準檢核表】
下載:前述表單及填寫說明 (限校內同仁)
資通服務委外合約書附則
依據資通安全管理法第9條規定:「公務機關或特定非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。」
而具體施行情形,則規定於資通安全管理法施行細則第4條
國立政治大學資通服務委外合約書附則
為協助校內同仁在委外資訊系統,與廠商簽訂合約時納入前述要求,本校於資訊安全暨個人資料保護推行委員會第十七次會議決議通過「國立政治大學資通服務委外合約書附則」,以為周全規範。
附則內容視使用單位需求,可自行增減,
本附則分三大部分:
(一)廠商提供資通服務,需遵守之共通性規定。
(二)資通系統之開發或維運,需遵守之資安防護作業規定。(系統開發及維運適用)
(三)涉及個人資料蒐集、處理及利用,需遵循之規定。(服務內容涉及個資適用)
並包含附件
- 廠商資安管理作業自我評估表
- 合約商保密切結書
- 保密切結書
委外廠商管理
選任委外廠商
依據資通安全管理法第9條規定:「公務機關或特定非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。」
為符合前項規定,請各單位於選任委外資通服務受託者時,依循「國立政治大學資通服務委外合約書附則」第二條規範,請廠商填寫「資安管理作業自我評估表」,以確認廠商本專案之相關資安管理作業措施是否適當。
>>產出【資安管理作業自我評估表】
監督及稽核委外廠商
資通安全管理法施行細則第4條第9項規定:「委託機關應定期或於知悉受託者發生可能影響受託業務之資通安全事件時,以稽核或其他適當方式確認受託業務之執行情形。」
本校於「國立政治大學資通服務委外合約書附則」第五條中保有對廠商稽核之權利,得依需要對專案相關工作之執行、資料處理及執行之紀錄,進行實地現場訪視或調閱資料,廠商應以合作態度及於合理時間內配合本校或委託之專業機構進行稽核作業,提供相關書面資料或協助約談相關人員,廠商不得有異議。廠商經檢查或稽核結果發現不符合資訊安全或個人資料保護規範,須於接獲本校通知期限內改善。
參考數位發展部資通安全署訂定「資通系統籌獲各階段資安強化措施」之資安稽核作業做法,請本校防護需求等級為「中級」以上資通系統之委外廠商以「國立政治大學委外廠商資通安全檢核表」完成自我檢核後,由業務單位進行複檢,以確認委外廠商落實資安相關要求。
電算中心將定期辦理「資通系統委外稽核輔導」,由電算中心及專業資安顧問共同協助本校業務單位完成資通系統委外廠商之稽核「複檢」作業,以遵循資安法規定。相關單位務必請委外廠商完成「國立政治大學委外廠商資通安全檢核表」自我檢核,並提供相關佐證資料,於輔導日期3天前上傳本校資安管理專區,以便當天作業。
>>產出【國立政治大學委外廠商資通安全檢核表】
其他委外規範
資通系統籌獲各階段資安強化措施
依據資通安全管理法(以下簡稱本法)第九條規定,公務機關或特定非公務機關於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。為協助公務機關及特定非公務機關於本法適用範圍內委外辦理相關作業,補充說明委託機關依本法施行細則第四條規定選任或監督受託者之相關行政流程及應注意事項,特訂定本措施。
教育部委外辦理或補助建置維運伺服主機及應用系統網站
本校承接教育部委託辦理系統網站,適用本規定
教育部委外辦理或補助建置維運伺服主機及應用系統網站資通安全及個人資料保護管理要點
教育部委請或補助機關(構)、學校辦理建置與維運伺服主機及應用系統網站相關業務,應以書面、電子傳輸或其他適當方式,將本要點規範之義務告知受委請或補助辦理之機關(構)、學校。
本要點第一項之廠商及第二項之受委請或補助辦理之機關(構)、學校(以下合稱委外單位),應規範其所屬員工及相關人員(包括複委託單位或臨時人員),依本要點辦理 。
教育訓練
教育機構資安驗證中心