委外廠商管理 | |
(一)、委外、租賃或購買套裝應用資訊系統時,請依「國立雲林科技大學委外、租賃或購買套裝應用資訊系統注意事項」辦理。(表單編號:YUNTECH-ISPI-D-017)
(二)、委外廠商於支援執行業務時,處理之個人資料或獲知敏感等級(含)以上資訊,應遵守「個人資料保護法」及本校之相關規定,不得對外透露、任意複製或攜出機密性之業務資料,為確保前述事項之落實,要求廠商及其人員簽署「保密切結書」(表單編號:YUNTECH-ISPI-D-011),更換廠商或人員時亦同。 (三)、針對涉及個資的委外作業,委外廠商視同委託機關,屬個資法適用範圍內。應重新審閱委外合約,於委外合約中載明所處理之個人資料保密義務委外廠商有相當的要求與管控資訊安全相關責任及違反之罰則。
(四)、於專案期間,本校可透過稽核等方式監督委外廠商之個人資料管理作法,如個資蒐集、處理、利用、傳輸與銷毀之管理情形。 (五)、與委外廠商所簽訂正式書面協議或契約中,應明確陳述契約終止時,相關個人資料的銷毀或交還程序。
(六)、自行開發或委外處理個人資料檔案之資訊系統,避免以真實個人資料進行測試,如需使用,完成測試作業後立即移除,或將可辦識之個人資料修改為無法辦識之模糊資訊。
(七)、宜避免允許維護人員或系統服務廠商以遠端登入方式進行牽涉機敏性資 料的資訊系統維護或其他有關之運作;若需使用遠端登入方式進行維護,則應透過加密通道進行(如:HTTPS、SSH等),及權限控管及留存稽核紀錄。
(八)、委外廠商履行合約應提供其使用之軟體,且均須為合法軟體,並不得違反智慧財產權之規定,如有違反事情發生,委外廠商須承擔所有法律責任。
(九)、委外廠商所使用之工具軟體、處理作業之執行紀錄及異常處理記錄應留存,本校有權進行稽核,廠商不得異議。
(十)、委外廠商人員對於系統帳號應善盡保管之責,系統帳號不得任意交由非作業相關人員使用。
(十一)、委外廠商相關系統之開發或負責人員離職時,應繳回其所借用之設備、軟體及終止作業權限。
(十二)、委外廠商人員,於進行開發或維護軟硬體作業時,需視處理程序中之可能風險,採取適當的安全控制措施,並條列安全規定於正式合約中。
(十三)、委外廠商需針對交付之系統,應保證系統內不含後門程式、隱密通道及特洛伊木馬程式。 |
|
最後更新 ( 2020/08/25, 週二 ) |