資通系統-開發及委外安全管理
資通系統安全管理
依據資通安全責任等級分級辦法第11條規定:
各機關自行或委外開發之資通系統,
(1)應依附表九所定資通系統防護需求分級原則,完成資通系統分級;
(2)並依附表十所定資通系統防護基準,執行控制措施。
需求規劃階段
因此,無論是自行或委外開發之資通系統,業務單位在(採購前)需求規劃階段,即需要依附表九所定資通系統防護需求分級原則,評估資通系統安全(防護需求)等級(普、中、高)。
>>產出【安全等級評估表】
開發階段
業務單位或廠商開發過程中,需依據前面評估後之系統等級,
依附表十所定資通系統防護基準,完成對應等級之控制措施。
>>產出【資通系統防護基準檢核表】
資通服務委外合約書附則
依據資通安全管理法第9條規定:「公務機關或特定非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。」
而具體施行情形,則規定於資通安全管理法施行細則第4條
委外廠商管理
選任委外廠商
依據資通安全管理法第9條規定:「公務機關或特定非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。」
>>產出【資安管理作業自我評估表】
監督及稽核委外廠商
資通安全管理法施行細則第4條第9項規定:「委託機關應定期或於知悉受託者發生可能影響受託業務之資通安全事件時,以稽核或其他適當方式確認受託業務之執行情形。」
參考數位發展部資通安全署訂定「資通系統籌獲各階段資安強化措施」之資安稽核作業做法,由業務單位進行複檢,以確認委外廠商落實資安相關要求。
其他委外規範
資通系統籌獲各階段資安強化措施
依據資通安全管理法(以下簡稱本法)第九條規定,公務機關或特定非公務機關於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。為協助公務機關及特定非公務機關於本法適用範圍內委外辦理相關作業,補充說明委託機關依本法施行細則第四條規定選任或監督受託者之相關行政流程及應注意事項,特訂定本措施。
教育訓練
教育機構資安驗證中心