█委外系統之文件：

• 資通系統籌獲(委外設置、開發)委外前先做防護基準需求等級的評估(NDHU-I-B-04-07_資通系統防護基準表)
• 確定受託者即完成NDHU-I-B-11-01_資通安全委外契約檢核表之內容。
• 廠商人員應簽署NDHU-I-B-11-03_保密切結書(廠商)、國立東華大學委外專案契約終止或解除資料確認刪除、銷毀及載體返還、移轉切結書。
• 廠商應簽署使用資通訊產品禁制事項同意書切結書。
• 系統開通遠端管理應記載於NDHU-I-C-04-01_網路服務連線申請單、針對弱掃或源碼等檢測報告提出NDHU-I-B-07-04_弱點處理報告單。

█工程會招標相關文件及表格：(連結)

█委外合約內容： 參考工程會資訊採購契約範本，關於資通安全責任。內容包括如下

• 廠商應遵守資通安全管理法、其相關子法及行政院所頒訂之各項資通安全規範及標準，並遵守機關資通安全管理及保密相關規定。
• 禁止未經授權之蒐集、處理、利用及揭露。
• 限制廠商人員存取系統與資料之權限，並採最小權限原則。
• 委外服務需定期進行弱點掃描、滲透測試，並完成修補。
• 應建立資安事件通報、應變與改善時程。若發生資料外洩或資安事件，須於24小時內通報學校。
• 廠商人員須接受學校要求之資安教育訓練或宣導。
• 廠商應提供維護紀錄、異動紀錄與稽核紀錄。
• 因資安事件或違約造成損害，廠商需承擔賠償責任。
• 合約終止或服務結束時，廠商須提供資料刪除或移轉證明。

█相關法源、規定：

• 資通安全管理法第9條 (連結)
• 資通安全管理法-施行細則第4條 (連結)
• 資通系統籌獲各階段資安強化措施 (連結)
• 本校NDHU-I-C-01 系統開發委外管理作業說明書 (連結)
• NDHU-I-B-11_委外管理程序書 (連結)

█適用範圍：

• 資訊服務採購
• 資訊相關財務採購
• 資訊相關勞務採購

█資訊服務採購契約書應注意事項：

• 第八條履約管理第(二十三)項，應符合下列國家標準部分，CNS 27001應進行選擇。
• 第八條履約管理第(二十四)項，本案涉及資通訊軟體、硬體或服務等相關事務，廠商執行本案之團隊成員不得為陸籍人士，並不得提供及使用大陸廠牌資通訊產品。應進行選擇。
• 第十五條 違約及服務績效違約金第(二)項，服務水準及績效表格應確實填寫，評估項目資安指標應符合本校規範與資安法規。
• 第二十條 保密及安全需求應留意個人資料保護項目。
• 政府採購法第63條第1項規定,機關辦理各類採購時，契約如約定廠商須於網路廣告平臺刊登廣告或須交付書面履約成果者，應將「採購契約範本附記條款特別聲明」，納入採購契約 。

█資訊相關財務採購契約書應注意事項：

• 資訊相關之財務採購應注意不得使用危害國家資通訊產品，請參考各機關對危害國家資通安全產品限制使用原則。

█資訊相關勞務採購契約書應注意事項：

• 第十四條 權利及責任應留意個人資料保護項目。
• 切記與廠商完成保密切結書簽定。

更新日期：114.10.14