一、    委外服務的管理

簽署正式協議之機關與廠商委派人員提供服務，或因應政府法規或行政命令採用委外廠商提供的服務，應對委外服務進行適當的管理。無正式協議之外部單位，不得使用其所提供的服務(公共服務除外)。

對於委外服務，應視實際需求考量進行以下之管理作業，並參考「NTG-ISMS-I-3-01-02南投縣政府資通委外業務自我檢核表」確認委外業務之資通安全管理需求：

(一)      委外廠商辦理受託業務之相關程序及環境，應考量資通安全相關風險，宜具備完善之資通安全管理措施或通過第三方驗證。

(二)      委外廠商應配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員。

(三)      委外廠商辦理受託業務得否複委託、得複委託之範圍與對象，及複委託之分包廠商應具備之資通安全維護措施。

(四)      受託業務涉及國家機密者，執行受託業務之相關人員應接受適任性查核，並依國家機密保護法之規定，管制其出境。

(五)      受託業務包括客製化資通系統開發者，委外廠商應提供該資通系統之安全性檢測證明；該資通系統屬委託機關之核心資通系統，或委託金額達新臺幣一千萬元以上者，委外廠商應委託第三方進行安全性檢測；涉及利用非委外廠商自行開發之系統或資源者，並應標示非自行開發之內容與其來源及提供授權證明。

(六)      委外廠商執行受託業務，違反資通安全相關法令或知悉資通安全事件時，應立即通知本府及採行之補救措施。

(七)      委託關係終止或解除時，委外廠商應返還、移交、刪除或銷毀履行契約而持有之資料。

(八)      委外廠商應採取之其他資通安全相關維護措施。

(九)      本府得定期或於知悉委外廠商發生可能影響受託業務之資通安全事件時，以稽核或其他適當方式確認受託業務之執行情形。