一、依據資安法施行細則第 7 條訂有委外前受託 者之選任及委外後受託者之監督等事項，建 議機關於辦理委外案前，即應了解法規事 項，並透過契約規範及專案管理落實本法規 定。

二、承上，同條第 2 項所稱「適任性查核」，實務 做法可採要求受託業務廠商所屬人員簽署 切結書、出示良民證等具體作法。

三、機關委外辦理資通業務時，應要求受託者具 備完善的資通安全管理措施，或通過第三方 驗證，故機關可評估委託規模、內容及委託 標的之防護需求等級等因素，綜整考量後適 當擇一要求受託方應具備之資安管控措施 或要求通過第三方驗證。（詳參資安法第10條第2項）。

四、第三方驗證之範圍，係指受託者辦理業務之 相關程序、人員、設備及環境。

資安法施行後，機關應依資安法施行細則第7條所定之委外注意事項，檢視現行委外作業之適法性，如有須調整者，建議透過專案管理或變更契約等方式辦理。

一、完善的資通安全管理措施，係指除遵行機關 自定之資通安全防護及控制措施所要求之項 目外，機關得依委託之項目個案判斷，並可 於採購、委外招標時，納入相關需求並列為 評分項目。例如：

(一)應用系統委外開發：可考慮廠商的開發環 境是否安全，程式的測試資料是否合宜 等。

(二)SOC 監控委外：可考量蒐集的資料是否 做好相當之管理及防護。

二、有關廠商的管理措施是否「完善」，係視機關 委外業務之防護需求及等級而定。機關可在 招標文件中述明，以作為選商的評判依據。 另外，前述防護需求所需之「完善」管理措 施，建議可參考資訊安全管理系統國家標準 CNS 27001 或 ISO 27001 之管理要求及相關 資安法規之要求據以審視之；至於機關內部之單位權責分工議題，原則尊重各機關之內 部行政作業與文化而定，但考量本項工作仍 需仰賴資安專業，建議機關之資訊單位及資 安專職人力應統籌扮演跨單位統籌及規劃之 角色。

建議先查明廠商通過之第三方驗證範圍（包含人員、資安管理作業程序、資通系統、實體環境）是否已涵蓋貴機關委外之業務，另外以稽核方式確認受託業務之執行情形，確認前述第三方驗證通過及維運狀況。另外建議委託機關應先於招標文件敘明委託業務須通過第三方驗證及接受查核之要求，避免履約爭議。

一、依資安法施行細則第 7 條規定，委外業務涉 及客製化資通系統開發者，廠商應提供該資 通系統之安全性檢測證明，包含源碼掃描、 弱點掃描、滲透測試等安全檢測。（詳參資通 安全責任等級分級辦法附表十資通系統防護 基準–系統與服務獲得構面，如系統防護需 求分級為「高」之系統，須執行源碼掃描、 滲透測試及弱點掃描）。

二、前述委外業務涉及客製化核心資通系統之開 發，或委託金額達新臺幣一千萬元以上者， 應由委託機關自行辦理或由委託機關另行委託第三方辦理安全性檢測，以確保該資通系統之安全性。

• 一、如受託者辦理受託業務之相關程序及環境都 在機關內，廠商應無資安法第 10 條第 2 項 須具備完善之資通安全管理措施或通過第 三方驗證的議題。
• 二、惟採購套裝軟體或硬體，機關及委託執行業 務廠商應檢視並評估相關產品供應程序有 無潛在風險，進而採取必要之防護機制，以 降低潛在的資安威脅及弱點。

有關該款委託金額達新臺幣一千萬元以上者，係 指該採購案之採購金額，並未再區分軟硬體或服 務之金額，而就委託金額達新臺幣一千萬元以上 之受託業務，依據《資通系統統籌或各階段資安強化措施》(參第三點(二)4)，以及行政院公共工 程委員會與數位發展部研訂之「各類資訊(服務) 採購之共通性資通安全基本要求參考一覽表」(參 「雲端平台(PaaS 或 IaaS)」、「應用軟體或系統開發服務」、「既有系統功能後續擴充」類型)，委託 機關應自行或另行委託第三方，就各類要求事項 與檢測項目落實執行。