系统委外开发注意事项

• 应根据厂商专业能力、技术经验及财务能力，慎选优良厂商。
• 委外开发合约，应明订保固期间、维护方式、教育训练、资讯安全与个资保护等资安要求，并制定违约罚责。 (建议可参考公共工程委员会提供资讯服务采购契约范本)
• 限制使用危害国家资通安全产品，行政院要求各机关于110年底前完成汰换所使用或采购大陆品牌资通讯产品(前往说明专页)。
• 系统开发与维运需依本校对该系统分级 ( 普、中、高 ) 结果，完成「资通安全责任等级分级办法」附表十「资通系统防护基准」之该等级全部适用项目要求。
• 要求承包厂商參与开发之相关工作人员，均须签订保密切结书。
• 在系统初始阶段将对厂商资安与个资保护要求纳入考量。  例HTTPS传输协定、使用TLS1.2以上版本传输、弱扫、个资管理 (蒐集、处理、利用与销毁)
• 厂商交付之软硬件及文件，应先行检查是否内藏恶意程式(如病毒、蠕虫、木马、间谍软件等)，并于上线前应清除正式环境之测试资料与帐号及管理资料与帐号。
• 承包厂商所开发或维护之系统，于合约有效期间，若发现系统有安全漏洞，应无偿配合修改，修改方式交付时间须经本校同意。
• 终止或解除委讬关系，应确认委外厂商返还、移交、删除或销毁履行契约而所持有之资料。
• 参与开发相关人员应遵守个人资料保护法、个资施行细则、资通安全管理法、资安法施行细则及资安责任等级分级办法等相关规定。
• 厂商如有违反个人资料保护相关法令而致个人资料被窃取、洩漏、窜改、毁损、灭失或其他侵害之情事，应立即通知本校，并说明违反事项及采行之补救措施意。