◎ 資通安全維護計畫(4.2版)   

    ◎ 新進人員資安宣導單    

    ◎ IS-01-001 資訊安全政策 (更新版2.2)

    ◎ IS-02-005 人員安全與教育訓練程序書

    ◎ IS-02-010委外管理程序書 (更新版2.5)

    ◎ IS-02-011安全事件管理程序書  (資安事件通報流程) (更新版2.2)

    ◎ IS-04-013資訊安全與個人資料保密切結書

    ◎ IS-04-017人員資訊安全守則   

    ◎ 國立高雄餐旅大學委外資通系統資安管理要點

重要!!  

 ◎ 15萬元以上標案

(1)如為資訊服務標案請使用資訊服務採購契約範本(圖書資訊處版本).doc (資安部分要求選擇項目，可參考此附件) 。              

(2)目前使用財務(勞務)採購契約範本(請洽總務處事務組)，請加簽資訊採購委外廠商資通安全規範切結書.pdf。

 ◎ 15萬元以下小額採購

(1)屬資訊服務/硬體設備維運/客製化軟體/系統網站建置、開發、維運服務-請加簽資訊採購委外廠商資通安全規範切結書.pdf。

(2)屬硬體採購/套裝軟體/雲端服務(資料存放及跨境限制，加簽「資料所在地及跨境傳輸切結書」)-以上三類免附資訊採購委外廠商資通安全規範切結書。

📌 一、【資訊服務】定義（依政府採購法）

資訊服務指提供與電腦軟體或硬體有關之服務，包括但不限於：

(1)規劃與整合：整體規劃、系統整合、系統管理、網路管理、機房管理、備援服務

(2)開發與維運：軟體開發、驗證、維護(或套裝軟體有部分客製化)；硬體維護與操作

(3)其他專業服務：系統稽核、顧問諮詢、資料處理與登錄、資料庫建置、訓練推廣等

📌 二、【採購作業】辦理注意事項

📄 採購契約與規格書

• 契約版本：採用行政院公共工程委員會最新的《資訊服務採購契約範本》

• 需求規格書重點條款：

  • App 開發：須納入「資安標章」與「無障礙設計」要求

  • 網站系統開發或維護：

    • 應明列網站須有「 HTTPS」憑證。

    • 應填寫「IS-04-059防護需求等級評估表」評估系統等級(普/中/高)，並將等級對應的防護需求(附表十-資通系統防護基準自評表 控制措施內容)納入系統規劃規格書中。(詳細解說可參考此附件)

    • 應遵循安全軟體開發生命周期(SSDLC)，廠商亦需於上線前提供資通系統之安全性檢測證明(弱掃報告且無中、高風險)(此項目要求為資訊採購契約中制式規定，也為教育部稽核查檢重點)。

  • 系統或服務委外時，契約中應明訂日誌紀錄保存(至少6個月)與資料備份(包含系統原始碼)規定，以防資安事件發生時有跡可循。(法源依據：各機關資通安全事件通報及應變處理作業程序第四條跡證保存)

  • 雲端服務：資料存放及跨境限制，加簽「資料所在地及跨境傳輸切結書」。

🧾 廠商應簽署文件

1. 資訊採購委外廠商資通安全規範切結書.pdf（遵守本校 ISMS 委外作業管理程序）

2. IS-04-013資訊安全與個人資料保密切結書v3.0（廠商代表）

3. IS-04-013資訊安全與個人資料保密切結書v3.0（廠商人員）

4. IS-04-064委外廠商稽核查檢表(廠商自評)v1.0（自評，如有 ISO 27001 證書，請廠商一併提供）

⚠️ 安全與限制條件

• 資通產品限制：不得採購或使用陸製資通產品（危害國安之產品）限制使用危害國家資通安全產品(含禁用大陸廠牌一覽表)

• 人員限制：執行團隊不得包含陸籍人士

• 委外規範依據：需依本校 ISMS「委外作業管理程序書」撰寫資安條款

📌 三、【結案階段】注意事項

• 資料處理義務：委託關係終止或解除時，須確認廠商已完成：

  • 資料返還

  • 資料刪除／銷毀，簽署本校「PIMS-02-12-F03委外之個人資料刪除切結書」

   ◎ 政府資訊服務採購作業指引

   ◎ 限制使用危害國家資通安全產品(含禁用大陸廠牌一覽表)

   ◎ 各類資訊(服務)採購之共通性資通安全基本要求參考一覽表

   ◎ 行政院及所屬機關（構）使用生成式AI參考指引

   ◎ 資通安全管理法修正草案條文對照表

   ◎ 112年政府機關資通安全防護精進建議

   ◎ 資通安全專業證照清單 

   ◎ 教育體系遠距教學之資訊安全指引 

   ◎ 資通安全管理法

   ◎ 資通安全管理法施行細則

   ◎ 資通安全責任等級分級辦法

   ◎ 附表九-資通系統防護需求分級原則

   ◎ 附表十-資通系統防護基準

   ◎ 資通安全事件通報及應變辦法  

   ◎ 公務機關所屬人員資通安全事項獎懲辦法