委外作业管理程序书-中州科技大学

发布于:2021-06-11 10:51:19

中 文件編號 機密等級 ISMS-P-018 內部使用 州 版 科 次 技 A 大 頁次 學 1 / 10 Chung Chou University of Science and Technology 文件名稱 委外作業管理程序書 管理系統文件 文 件 類 別 文 件 編 號 文 件 名 稱 發 行 單 位 發 行 日 期 版 次 審 查 訂修廢單位 第 二 階 文 件 ISMS-P-018 委外作業管理程序書 文 件 管 制 小 組 103 年 12 月 01 日 A 核 准 資通安全處理小組 (原版簽名頁保存於文件管制小組) 中 文件編號 機密等級 ISMS-P-018 內部使用 州 版 科 次 技 A 大 頁次 學 2 / 10 Chung Chou University of Science and Technology 文件名稱 委外作業管理程序書 訂 版次 A 修 發行日期 103/12/01 廢 記 錄 訂 修 廢 內 容 摘 要 初版發行 中 文件編號 機密等級 ISMS-P-018 內部使用 州 版 科 次 技 A 大 頁次 學 3 / 10 Chung Chou University of Science and Technology 文件名稱 委外作業管理程序書 1. 目的 為促使本校委外廠商及委外廠商人員在本校進行各項委託業務作業及存 取資訊時,有一明確的安全規範,以確保本校資料的機密性,維護資訊 委外作業之安全,特制定本程序書。 2. 適用範圍 凡本校各項業務委外處理作業,以及委外服務廠商透過遠端方式進行系 統維護、外部單位駐點人員與外單位訪客使用本校內部網路或作業過程 中與外單位交換資料之委外作業,均適用本程序書。 3. 參考文件 3.1. ISMS-P-011 實體與環境安全管理程序書。 3.2. ISMS-P-003 資訊資產管理程序書。 3.3. ISMS-P-013 帳號密碼及存取控制管理程序書。 3.4. ISMS-P-009 資訊安全事件管理程序書。 3.5. ISMS-P-008 矯正及預防管理程序書。 4. 名詞定義 4.1. 委外 依據契約協議,將某項服務的持續管理責任轉嫁第三者執行,本校 負有監督管理責任。 中 文件編號 機密等級 ISMS-P-018 內部使用 州 版 科 次 技 A 大 頁次 學 4 / 10 Chung Chou University of Science and Technology 文件名稱 委外作業管理程序書 5. 作業內容 5.1. 委外作業管理流程圖 作業流程 提出服務需求 No 權責單位 需求單位 相關表單 評估及審核 Yes 權責單位 遴選委外服務廠商 需求單位 評選標準 委外廠商保密協議書 委外廠商人員保密切結書 委外廠商資安規範查核表 委外服務執行管理 資通安全處理小組 委外廠商 專案相關外部人員 委外廠商 資通安全處理小組 進行存取作業 No 管制區域進出管制登記表 問題檢討與改善 會議紀錄單 驗收 Yes 權責單位 驗收相關文件 付款核銷 權責單位 紀錄保存 相關業務承辦人員 中 文件編號 機密等級 ISMS-P-018 內部使用 州 版 科 次 技 A 大 頁次 學 5 / 10 Chung Chou University of Science and Technology 文件名稱 委外作業管理程序書 5.2. 提出委外服務需求 5.2.1. 本校因業務需求提出資訊委外服務時,若發生下列之情事者,即 可進行適當之評估及考量將業務委外辦理。 5.2.1.1. 限於專業技術或人力無法自行辦理。 5.2.1.2. 自行辦理難以滿足時效要求。 5.2.1.3. 自行辦理不符經濟成本效益。 5.2.1.4. 其他相關環境條件無法配合。 5.2.2. 經需求單位評估後需提出業務委外時,應擬妥簽呈並檢附需求規 格,詳載業務委外各項之服務需求後提出申請。 5.3. 評估及審核 需求單位將委外需求簽呈及相關附件會相關權責單位審核,若審核 通過則移由事務組依本校採購相關規定辦理採購。 5.4. 遴選委外服務廠商 辦理業務委外時,由需求單位參考政府採購法及本校相關廠商評選 辦法遴選合格的供應廠商。 5.5. 委外服務執行管理 5.5.1. 一般條款 5.5.1.1. 應要求委外廠商遵循本校資安政策與資安目標,恪守本校資 訊安全管理制度(ISMS)各項作業規範及相關法規之要求。 5.5.1.2. 委外廠商執行業務上若有複委託之需求,應事前取得本校之 同意,委外廠商應對複委託廠商依本校資訊安全管理制度 (ISMS)相關規定進行適當之監督與管理。 5.5.1.3. 委外廠商及其複委託廠商於執行本校資通訊技術服務與產 品業務時,應對所承接之業務所涉及之資訊資產或服務,進 行風險評鑑並提出相關紀錄,本校須針對風險評鑑結果進行 審查,必要時得派員進行實地查核,廠商應予配合。機關於 查核後若有缺失,得以書面敘明理由請廠商限期改善。 中 文件編號 機密等級 ISMS-P-018 內部使用 州 版 科 次 技 A 大 頁次 學 6 / 10 Chung Chou University of Science and Technology 文件名稱 委外作業管理程序書 5.5.1.4. 委外廠商因執行委外業務,須接觸「密」等級(含)以上資 訊,除應遵守相關法令法規及本校資訊安全規範外,尚須簽 署「ISMS-P-018-01 委外廠商保密切結書」 ,委外廠商人員需 簽署「ISMS-P-018-02 委外廠商人員保密切結書」 。 5.5.1.5. 委外廠商應提供負責委外業務的聯絡窗口及電話,協助解決 相關問題,並配合本校業務執行及異常狀況排除。 5.5.1.6. 委外廠商於履行合約期間所使用之軟體,均需

相关推荐

最新更新

猜你喜欢