Please enable JavaScript.
Coggle requires JavaScript to display documents.
籌獲各階段資安強化措施 - Coggle Diagram
籌獲各階段資安強化措施
建置階段
資安專責人員應協助需求單位監督開發團隊遵循SSDLC
資安專責人力協助需求單位確認重點里程碑
核心系統應聘請外部專家檢視履約程序與成果之資安管理作為
核心系統系統且委託金額達新臺幣一千萬元以上者
機關應評估導入獨立驗證與認證機制 (IV&V)
應經委託機關資通安全長確認
需求階段
1.資通系統防護需求等級
取得前應評估
分級辦法附表九
資安長確認評估結果
2.估算資安資源需求
受託者應配置資通安全專業人員人數與能力
購案經費的5%為資安經費
如無法達成前兩項
採購:報請資安長核准資安作為辦理
報請委託機關核准後之資安作為辦理
3.檢視受託者資安作為
政府採購法納入評選項目
無評選/評審應納入適當方式檢視資安作為
最有利標不訂底價為原則
資安作為佔評選項目配分10%,如資訊服務比例低於全案10%,資安作為配分至少應佔5%
評選時廠商應說明資安作為
依資安等級,得參考[資通系統防護基準驗證實務]於規劃階段訂定對應的廠商專業能力需求資格
(
https://www.nccst.nat.gov.tw/CommonSpecification?lang=zh
)
核心資通系統,評選委員至少一位資安專業人員
至少取得資安主管機關認可之國內外發證機關 (構 )所核發之資通安全專業證照
從事資安實務作業 三年以上
資安教學經驗六年以上
為行政院公共工程委員會公告之評選委員會專家學
者建議名單資料庫中之資訊安全委員
不採用評選至少包含一位資安專業人員協助選任
參考「資訊服務採購案之資安檢核事項」,據以確認
採購案各項資安要求。
應書面揭露實體設備所在地及資料傳輸是否跨境
(財務或勞務之資料存取、儲存、備份及備援等作業)
維運階段
受託者應配置適當之資通安全專責人員
落實資安管理
資安專責人力協助管理單位確認資通系統維運作業
確實依委託機關之資安管理措施落實辦理
如登入維護、資料備份、效能
調校、主機環境及系統版本更新等。
資安稽核作業
在契約有效期間內 (委任、委託關係期間 )
依籌獲案之規模及性質,要求受託者應就受委託範圍自行辦理資安稽核作業
資通系統防護需求等級為「
高級
」
委託機關
應
以適當方式定期或不定期對受託者辦理
資安稽核
資通系統防護需求等級為「
中級
」
委託機關
得
是需求以適當方式定期或不定期對受託者辦理資安稽核
受託者知悉資安事件
且經審核為重大資安事件時 委託機關應辦理資安稽核
並應將稽核結果 送交資安主管機關
廠商聯合稽核
不適用對象
無客製化之套裝軟體
網路集資安等資通訊設備購買
本措施所稱資通系統籌獲指委託機關辦理本法第九條所定委外辦理資通系統之建置、維運或資通服務提供,其執行方式包含但不限於採購、委任與委託