委外招標案納入資安規範
委外招標案納入資安規範
1.1 專案組織
廠商需設立聯繫窗口一名工作人員,並填寫「TUMT-ISMS-D-020 外部單位聯絡清單」及提供專案時程表,另軟體系統得標廠商需提供系統開發與維護安全檢核表。
1.2 風險控管
1.得標廠商如有延遲交貨情況發生,將按照本校請購相關規範辦理。
2.得標廠商需填寫「TUMT-ISMS-D-013 委外廠商保密切結書」。
3.得標廠商對主機及系統操作及維護以現場操作為原則,避免使用遠距工作,且與公務網路環境界接之設備不得為大陸廠牌資通產品。如有需求,須請校內單位承辦人上教職資訊網填寫「防火牆通訊協定開放申請輸入」,經單位主管核准後,限期開放執行權限。
4.主機及系統備份除自動執行功能外,必須填寫「TUMT-ISMS- D-022 備份檢查記錄表」。
5.主機、資料庫、軟體系統正式上線前需完成:
(1)資通系統安全等級評估表。
(2)僅硬體維運(不含系統、資料庫)委外,只需填寫「TUMT-ISMS-D-013 委外廠商保密切結書」。
(3)系統(含資料庫系統)-須完成弱點掃描(可於上線前一個月前向圖資中心提出申請),弱點掃描後,依據弱掃報告進行弱點修補,並填寫「TUMT-ISMS-D-018 弱點處理報告單」。
1.3驗收交付文件
1.系統管理手冊、使用者操作手冊(電子檔)。
2.資料庫結構文件。
3.系統開發與維護安全檢核表。
4.廠商服務團隊必須有專業資訊安全人員證明。
5.TUMT-ISMS-D-013 委外廠商保密切結書。
6.如涉及著作權/智財權,必須取得同意書。
1.4教育訓練
依照規定廠商必須完成資訊安全相關教育訓練,並檢附相關受訓證明。
1.5保固、諮詢及維護計畫
1.保固:開立發票日期起1~3年。
2.諮詢:保固期間內,提供電話、通訊軟體或遠端連線方式進行諮詢,次數不限。
3.維護:保固期間內,不論親至現場或遠端連線方式進行維護,與公務網路環境界接之設備不得為大陸廠牌資通產品。維護次數不限。
4.諮詢及維護時間以上班日為主(星期一至五,早上8時30分至下午5時30分)
1.6委外關係終止及解除
得標廠商需切結所持有軟、硬系統之相關資料已返還、移交、刪除或銷毀。