這年頭要賺政府的錢也不容易啊
資安法要求的對象不只有公務機關,連委外的廠商也需要符合大部分的應辦事項.難度在業界可能算不上什麼,就是手續多了一些,別忘了多留點時間給廠商準備,也多點時間在驗收上。範本可參考資訊服務採購契約範本。
特別需要留意資訊安全的部分,以及事後的維修,不然出事要廠商修補合約外的漏洞是很容易遇到麻煩的
以下就依委外流程分事前,事中,事後舉例說明重要事項
事前,第一次需要羅列出所有應辦事項,其中的資安人員配置與是否有專業的資安背景也是要考量的
事中 如同自行開發一般,要確認是否有符合作業環境,也需要稽核,可以是請廠商填做檢核表
事後 確認系統 資料有安全善後,如果有個資方面,可要交回或自行銷毀
最後建議如果給跟我一樣沒經驗的話,請單位內介紹有經驗的廠商,安全品質才都有辦法照顧到,可省下不少資安的考量,專注在功能的驗收與維護上
iThome鐵人賽
看影片追技術