一、完善的資通安全管理措施，係指除遵行機關 自定之資通安全防護及控制措施所要求之項 目外，機關得依委託之項目個案判斷，並可 於採購、委外招標時，納入相關需求並列為 評分項目。例如：

(一)應用系統委外開發：可考慮廠商的開發環 境是否安全，程式的測試資料是否合宜 等。

(二)SOC 監控委外：可考量蒐集的資料是否 做好相當之管理及防護。

二、有關廠商的管理措施是否「完善」，係視機關 委外業務之防護需求及等級而定。機關可在 招標文件中述明，以作為選商的評判依據。 另外，前述防護需求所需之「完善」管理措 施，建議可參考資訊安全管理系統國家標準 CNS 27001 或 ISO 27001 之管理要求及相關 資安法規之要求據以審視之；至於機關內部之單位權責分工議題，原則尊重各機關之內 部行政作業與文化而定，但考量本項工作仍 需仰賴資安專業，建議機關之資訊單位及資 安專職人力應統籌扮演跨單位統籌及規劃之 角色。