跳到主要內容區

委外招標案納入資安規範

委外招標案納入資安規範

1.1  專案組織

廠商需設立聯繫窗口一名工作人員,並填寫「TUMT-ISMS-D-020 外部單位聯絡清單」及提供專案時程表,另軟體系統得標廠商需提供系統開發與維護安全檢核表。

1.2  風險控管

1.得標廠商如有延遲交貨情況發生,將按照本校請購相關規範辦理。

2.得標廠商需填寫「TUMT-ISMS-D-013 委外廠商保密切結書」。

3.得標廠商對主機及系統操作及維護以現場操作為原則,避免使用遠距工作,且與公務網路環境界接之設備不得為大陸廠牌資通產品。如有需求,須請校內單位承辦人上教職資訊網填寫「防火牆通訊協定開放申請輸入」,經單位主管核准後,限期開放執行權限。

4.主機及系統備份除自動執行功能外,必須填寫「TUMT-ISMS- D-022 備份檢查記錄表」。

5.主機、資料庫、軟體系統正式上線前需完成:

(1)資通系統安全等級評估表。

(2)僅硬體維運(不含系統、資料庫)委外,只需填寫「TUMT-ISMS-D-013 委外廠商保密切結書」。

(3)系統(含資料庫系統)-須完成弱點掃描(可於上線前一個月前向圖資中心提出申請),弱點掃描後,依據弱掃報告進行弱點修補,並填寫「TUMT-ISMS-D-018 弱點處理報告單」。

1.3驗收交付文件

1.系統管理手冊、使用者操作手冊(電子檔)

2.資料庫結構文件。

3.系統開發與維護安全檢核表。

4.廠商服務團隊必須有專業資訊安全人員證明。

5.TUMT-ISMS-D-013 委外廠商保密切結書。

6.如涉及著作權/智財權,必須取得同意書。

1.4教育訓練

依照規定廠商必須完成資訊安全相關教育訓練,並檢附相關受訓證明。

1.5保固、諮詢及維護計畫

1.保固:開立發票日期起1~3年。

2.諮詢:保固期間內,提供電話、通訊軟體或遠端連線方式進行諮詢,次數不限。

3.維護:保固期間內,不論親至現場或遠端連線方式進行維護,與公務網路環境界接之設備不得為大陸廠牌資通產品。維護次數不限。

4.諮詢及維護時間以上班日為主(星期一至五,早上830分至下午530)

1.6委外關係終止及解除

得標廠商需切結所持有軟、硬系統之相關資料已返還、移交、刪除或銷毀。

 

瀏覽數: