跳到主要內容區塊

資通系統採購文件之資安要求

  • 發布單位:資訊管理科

資通系統採購文件之資安要求

1. 招標文件應評估並標註所需之資通系統防護需求等級

依據:

(1) 資通安全責任等級分級辦法附表十

(2) 本府資通安全維護計畫之玖、四、系統獲取、開發及維護

例如,可於招標文件增加以下文字:

本○○○系統依據「資通安全責任等級分級辦法-附表九.資通系統防護需求分級原則」評估之資通系統防護需求等級為○(普、中、高)級,承包廠商應執行「資通安全責任等級分級辦法-附表十 資通系統防護基準」對應之所有安全控制措施;如暫時無法達成控制措施,廠商應逐項說明矯正作為與達成矯正作為之目標日期;如因技術限制、個別資通系統之設計、結構或性質等因素,就特定事項或控制措施之辦理或執行顯有困難者,廠商應向機關提報,機關依「資通安全責任等級分級辦法」第11條第3項辦理。

安全控制措施電子檔可於國家資通安全研究院 > 資安規範及報告 > 共通規範 > 資通系統防護基準驗證實務下載

 

2. 投標須知、契約等招標文件應確認以下資安要求

為強化各機關資通訊相關採購案之資安防護,機關辦理資訊服務採購時得參考行政院秘書長110年7月13日院臺護長字第1100177483號函檢附之「資訊服務採購案之資安檢核事項」(如附件四)辦理,據以確認採購案各項資安要求。
其中,要求廠商團隊成員簽署並提交保密同意書/保密切結書,ISMS導入與驗證範圍內的資通系統須遵循ISMS的文件格式,格式如本府計畫處網站首頁 > 業務專區 > 資訊安全 > ISMS下載區 > YLHG-04-001與YLHG-04-002

 

3. 資通系統籌獲各階段資安強化措施

詳細之資安強化措施要求請參考「資通系統籌獲各階段資安強化措施」,電子檔位於本府資訊入口平台 > 雲端硬碟 > 共用文件區 > 計畫處 > 04資訊管理科 > 資訊安全相關文件 > 公務機關資通系統籌獲各階段資安強化措施

 

4. ISMS驗證範圍內之資通系統

ISMS驗證範圍內之資通系統應符合本府以下作業說明書之要求,作業說明書可從本府資訊入口平台 > 雲端硬碟 > 共用文件區 > 計畫處 > 04資訊管理科 > ISMS資訊安全專區 > ISMS四階文件下查看:

  • YLHG-03-009 資、通訊系統與網路管理作業說明書
  • YLHG-03-010 系統獲取、開發與維護作業說明書