◎ 資通安全維護計畫(4.2版)   

    ◎ 新進人員資安宣導單    

    ◎ IS-01-001 資訊安全政策 (更新版2.2)

    ◎ IS-02-005 人員安全與教育訓練程序書

    ◎ IS-02-010委外管理程序書 (更新版2.4)

    ◎ IS-02-011安全事件管理程序書  (資安事件通報流程) (更新版2.2)

    ◎ IS-04-013資訊安全與個人資料保密切結書

    ◎ IS-04-017人員資訊安全守則   

    ◎ 國立高雄餐旅大學委外資通系統資安管理要點

   ◎ 15萬元以上標案-請下載資訊服務採購契約範本(圖書資訊處版本).doc 或 財務(勞務)採購契約範本(請洽總務處事務組)，

                                  如使用財務採購請自行加簽資訊採購委外廠商資通安全規範切結書.pdf

   ◎ 15萬元以下小額採購-請下載資訊採購委外廠商資通安全規範切結書.pdf

📌 一、【資訊服務】定義（依政府採購法）

資訊服務指提供與電腦軟體或硬體有關之服務，包括但不限於：

• 規劃與整合：整體規劃、系統整合、系統管理、網路管理、機房管理、備援服務

• 開發與維運：軟體開發、驗證、維護(或套裝軟體有部分客製化)；硬體維護與操作

• 其他專業服務：系統稽核、顧問諮詢、資料處理與登錄、資料庫建置、訓練推廣等

📌 二、【採購作業】辦理注意事項

📄 採購契約與規格書

• 契約版本：採用行政院公共工程委員會最新的《資訊服務採購契約範本》

• 需求規格書重點條款：

  • App 開發：須納入「資安標章」與「無障礙設計」要求

  • 網站開發：應明列「導入 HTTPS」需求

  • 新網站系統：應填寫「IS-04-059防護需求等級評估表」評估系統等級將所需的防護需求寫入系統規劃規格書中。

  • 系統或服務委外時，契約中應明訂日誌紀錄保存(至少6個月)與資料備份(包含系統原始碼)規定，以防資安事件發生時有跡可循。(法源依據：各機關資通安全事件通報及應變處理作業程序第四條跡證保存)

🧾 廠商應簽署文件

1. 資訊採購委外廠商資通安全規範切結書.pdf（遵守本校 ISMS 委外作業管理程序）

2. IS-04-013資訊安全與個人資料保密切結書v3.0（廠商代表）

3. IS-04-013資訊安全與個人資料保密切結書v3.0（廠商人員）

4. IS-04-064委外廠商稽核查檢表(廠商自評)v1.0（自評，如有 ISO 27001 證書，請廠商一併提供）

⚠️ 安全與限制條件

• 資通產品限制：不得採購或使用陸製資通產品（危害國安之產品）限制使用危害國家資通安全產品(含禁用大陸廠牌一覽表)

• 人員限制：執行團隊不得包含陸籍人士

• 委外規範依據：需依本校 ISMS「委外作業管理程序書」撰寫資安條款

📌 三、【結案階段】注意事項

• 資料處理義務：委託關係終止或解除時，須確認廠商已完成：

  • 資料返還

  • 資料刪除／銷毀

   ◎ 政府資訊服務採購作業指引

   ◎ 限制使用危害國家資通安全產品(含禁用大陸廠牌一覽表)

   ◎ 各類資訊(服務)採購之共通性資通安全基本要求參考一覽表

   ◎ 行政院及所屬機關（構）使用生成式AI參考指引

   ◎ 資通安全管理法修正草案條文對照表

   ◎ 112年政府機關資通安全防護精進建議

   ◎ 資通安全專業證照清單 

   ◎ 教育體系遠距教學之資訊安全指引 

   ◎ 資通安全管理法

   ◎ 資通安全管理法施行細則

   ◎ 資通安全責任等級分級辦法

   ◎ 附表九-資通系統防護需求分級原則

   ◎ 附表十-資通系統防護基準

   ◎ 資通安全事件通報及應變辦法  

   ◎ 公務機關所屬人員資通安全事項獎懲辦法