系統委外開發注意事項

• 應根據廠商專業能力、技術經驗及財務能力，慎選優良廠商。
• 委外開發合約，應明訂保固期間、維護方式、教育訓練、資訊安全與個資保護等資安要求，並制定違約罰責。 (建議可參考公共工程委員會提供資訊服務採購契約範本)
• 限制使用危害國家資通安全產品，行政院要求各機關於110年底前完成汰換所使用或採購大陸品牌資通訊產品(前往說明專頁)。
• 系統開發與維運需依本校對該系統分級 ( 普、中、高 ) 結果，完成「資通安全責任等級分級辦法」附表十「資通系統防護基準」之該等級全部適用項目要求。
• 要求承包廠商參與開發之相關工作人員，均須簽訂保密切結書。
• 在系統初始階段將對廠商資安與個資保護要求納入考量。  例HTTPS傳輸協定、使用TLS1.2以上版本傳輸、弱掃、個資管理 (蒐集、處理、利用與銷毀)
• 廠商交付之軟硬體及文件，應先行檢查是否內藏惡意程式(如病毒、蠕蟲、木馬、間諜軟體等)，並於上線前應清除正式環境之測試資料與帳號及管理資料與帳號。
• 承包廠商所開發或維護之系統，於合約有效期間，若發現系統有安全漏洞，應無償配合修改，修改方式交付時間須經本校同意。
• 終止或解除委託關係，應確認委外廠商返還、移交、刪除或銷毀履行契約而所持有之資料。
• 參與開發相關人員應遵守個人資料保護法、個資施行細則、資通安全管理法、資安法施行細則及資安責任等級分級辦法等相關規定。
• 廠商如有違反個人資料保護相關法令而致個人資料被竊取、洩漏、竄改、毀損、滅失或其他侵害之情事，應立即通知本校，並說明違反事項及採行之補救措施意。