《前言》

本章是有關資安委外的管理，現在資安委外的公司很多，在選擇時要特別注意，以避免事後產生很多糾紛。

=====================================
第七章 資通系統或資通服務委外辦理之管理措施

第二十九條、 訂定資訊作業委外安全管理程序，包含委外選商、監督管理(如：對供應商與合作夥伴進行稽核)及委外關係終止之相關規定，確保委外廠商執行委外作業時，具備完善之資通安全管理措施。

第三十條、 訂定委外廠商之資通安全責任及保密規定，於採購文件中載明服務水準協議(SLA)、資安要求及對委外廠商資安稽核權。

第三十一條、 公司於委外關係終止或解除時，確認委外廠商返還、移交、刪除或銷毀履行契約而持有之資料。

=======================================

《探討及分析》

外包是屬於採購程序裡面的範圍，所以在『採購及付款循環』裡面，從請購開始，到最後的驗收都要符合採購規定，這部分最重要的是要做好外包商的信評，尤其是外包商的背景資料都要明確的了解，以免委外時，找到具有中資背景的廠商。

另外，就是有些公司的伺服器，外包是設在第三地，有些雖然合約內有訂定保密協定，甚至也有如第三十一條所說的返還、移交、刪除或銷毀，但資料如果備份在海外第三地，這該如何控管？這還是有讓人有所懷疑。

最後，提醒海外合約如果有糾紛，就算透過台灣的法律判決對方有罪，然而，在境外台灣的判決不見得具有法律效益，所以資安的外包的廠商要很謹慎的篩選，最好能多注意跟確認。