中興大學資訊服務採購資通安全責任要求

一、資通安全責任

1. 系統必須完全符合「資通安全責任等級分級辦法」附表十「資通系統防護基準」相關要求，且乙方應遵守資通安全管理法、其相關子法及行政院所頒訂之各項資通安全規範及標準，並遵守本校資通安全管理及保密相關規定。
2. 乙方必須完整符合資通安全管理法施行細則第四條之委外系統所需事項。
3. 乙方必須完全符合本校資訊作業委外安全管理辦法。
4. 乙方所提供之勞務或服務之原產地不得為大陸地區，及本案涉及資通訊軟體、硬體或服務等相關事務，乙方執行本案之團隊成員不得為陸籍人士，並不得提供及使用大陸廠牌資通訊產品。
5. 系統維護人員應每年參與至少一次資安通識教育訓練，教育時數必須有3小時以上。如不參與本校資安通識教育訓練, 必須提供其他資安教育訓練證明，該訓練須是一年內的證明。
6. 乙方交付之軟硬體及文件，應確保無內藏惡意程式(如病毒、蠕蟲、特洛伊木馬、間諜軟體等)及隱密通道(covert channel)，若為資通訊軟體則應在上線前進行主機及網站弱點掃描並檢附報告。
7. 本校所提供之一切資料或具影響當事人權益之資料、資訊、文件等均屬本校之資產，約定期間或雙方未能持續合作、或技術移轉時，乙方應依本校要求，無條件將所持有之原本返還，複製之機敏文件、資料、媒體應予銷毀，並提供相關作業辦理證據。乙方所提供之服務，如為軟體或系統發展，須針對各版本進行版本管理，並依本國資安、個資相關法令及本校資安管理相關作業要求提供權限控管與存取紀錄保存。
8. 本校將定期與不定期進行資訊安全演練、入侵偵測、弱點掃描等資安相關措施辦理，如發現須改善之系統漏洞或具本校不可接受之安全問題，乙方應無償配合進行必要調整或改正。
9. 乙方提供之服務，如有違反資通安全相關法令或乙方發生資安事件時，均必須於知悉後1 小時內通報本校相關人員，同時提出緊急應變處置，並配合本校做後續處理。

二、保密及安全需求

1. 雙方因執行本標的物而知悉或持有本標的物之任何文件或資料，非經他方事前書面同意，不得洩漏或交付第三人。同時須依法進行所持之相關資料進行返還或銷毀之作業，並提供必要作業證據。
2. 乙方知悉或取得本校公務秘密與業務秘密應限於其執行本契約所必需且僅限於本契約有效期間內。乙方須同意本條所定公務秘密與業務秘密，應僅提供、告知有需要知悉該秘密之乙方團隊成員，並應要求該等人員簽署與本條款內容相同之保密同意書。
3. 乙方在下述情況下解除其依本條所應負之保密義務：

(1)乙方原負保密義務之資訊，由本校提供以前，已為乙方所合法持有或已知且無保密必要者。

(2)乙方原負保密義務之資訊，依法令業已解密、依契約本校業已不負保密責任、或已為公眾所週知之資訊。

(3)乙方原負保密義務之資訊，係乙方自第三人處得知或取得，該第三人就該等資訊並無保密義務。

4. 乙方應保證其派至本校提供勞務之派駐勞工於本校工作期間以及本契約終止後，在未取得本校之書面同意前，不得向任何人、單位或團體透露任何業務上需保密之文件及資料。且乙方須保證所派駐人員於契約終止(或解除)時，應交還本校所屬財產，及在履約期間所持有之需保密之文件及資料。
5. 前款所稱保密之文件及資料，係指：

(1)本校在業務上認為不對外公開之一切文件及資料，包括與其業務或研究開發有關之內容。

(2)與乙方派至本校提供勞務之派駐勞工的工作有關，其成果尚不足以對外公布之資料、訊息及文件。

(3)依法令須保密或受保護之文件及資料，例如個人資料保護法所規定者。

6. 乙方同意其人員、代理人或使用人如有違反本條或其自行簽署之保密同意書者，視同乙方違反本條之保密義務。
7. 其餘涉及資通安全事項，由本校視個案實際需要，依國家資通安全研究院（網址：https://www.nics.nat.gov.tw/）共通規範辦理，例如「政府資訊作業委外資安參考指引」與資通安全有關事項。