委外資訊系統建置需求標準作業流程說明

執行目的:為提升行政效率優化服務品質,協助行政單位委外資訊系統自我管理能力,並能督促廠商建置穩定安全的系統。請各單位於系統採購或續約維護前依本作業流程項目先行檢核,並敍明於招標需求書、規格文件或採購合約內,註記文件頁數後送計中協助審核。
涵蓋範圍:全校委外資訊系統
檢核重點:遵循資通安全管理法、個人資料保護法及政府法規與本校資訊安全管理制度等規範訂定要求。
作業流程圖:委外資訊系統建置需求標準作業流程圖說明
作業流程步驟說明:
步驟一、下載相關表單
【文件對照說明】:
表冊編號 單位申請審核文件 參考對應文件
S1 資訊系統安全等級評估表 資通系統防護需求分級原則
S2 委外資訊系統合約書或招標規格書草案或需求建議書 委外資訊系統簽約注意事項參考範本
資通系統防護基準之控制措施
S3 委外資訊系統建置需求標準作業流程 委外資訊系統合約書或招標規格書草案或需求建議書
表冊編號 廠商確認交付文件 文件簡要說明
T1 資通系統防護基準 資安法要求對應分級後之普中高控制措施,請廠商落實。
T2 資通系統防護基準自我檢核表 教育部要求應落實相關等級項目控制措施,請進行查檢。
T3 應用系統使用公鑰憑證處理之安全檢查表 國發會要求政府機關應納入契約驗收項目,確保系統安全。
步驟二、單位與廠商協議合約並進行自我檢核:
1、依「資通系統防護需求分級原則」評定普中高,產出S1. 資訊系統安全等級評估表
2、依上述S1表單評定等級對應「資通系統防護基準」的控制措施及參考「委外資訊系統簽約注意事項參考範本」草擬合約內容。
3、與廠商溝通協調合約內容初議草約,產出S2. 委外資訊系統合約書或招標規格書草案或需求建議書
4、依上述S2表單對應檢核要項,自我檢核是否符合,產出S3. 委外資訊系統建置需求標準作業流程表。(符合請敍明文件頁數編號,未符合請註明無法達成之原因)
步驟三、線上申請審核並上傳表單:
1、線上申請審核網址 https://cnc.ntut.edu.tw/p/423-1004-2529.php?Lang=zh-tw
2、請用校園入口網站帳密登入後,備妥下列表單依序上傳
  S1. 資訊系統安全等級評估表
  S2. 委外資訊系統合約書或招標規格書草案或需求建議書
  S3. 委外資訊系統建置需求標準作業流程表
步驟四、計中協助第一次審核並提供建議:
計中各組第一次審核,提供未符合項次說明及建議Email給申請人,並提供諮詢管道。
步驟五、單位請依法規及建議請廠商修訂合約:
1、單位依計中審核建議修正並評估可承擔風險,與廠商修訂完成S2. 委外資訊系統合約書或招標規格書草案或需求建議書
2、依上述S2表單修正S3. 委外資訊系統建置需求標準作業流程表。
3、申請者請印出S1、S2、S3相關表單,送請單位主管核章並送計中核章確認結案
步驟六、計中紙本文件審核:
1、計中各組第二次紙本審核,若有未依檢核重點建議事項修正部分,將視為單位願意自行承擔負責之風險。
2、若計中各組第二次紙本審核發現有嚴重違反法規必須配合之事項,將註明原因後退件給申請者修正
步驟七、單位與廠商簽訂正式合約並落實相關法規:
委外資訊系統建置需求標準作業流程各檢核重點遵循資通安全管理法、個資法及政府法規與本校資訊安全管理制度等規範訂定要求。
請依計網中心審核說明及建議修正於正式合約,若有未符合法規或未改善事項由單位自行負責