相信不少資安界的朋友,最近都陸續遇到被要求檢視合約裡的資安條款;各式各樣的採購案或專案,動不動就要過資安檢視、要求二三道防線。你正在為「資安條款到底該怎麼寫」煩惱嗎?這裡不藏私,把我整理過的三份供應商資訊安全要求(ISR,Information Security Requirement)範本完整分享出來,供你取用參考。

所謂 ISR,就是把「委外廠商/供應商在提供服務、接觸到公司資料時,必須遵守哪些資安規定」白紙黑字寫進合約或附件,讓資安要求變成有約束力的契約義務,而不只是口頭期望。下面三份範本各有適用情境,可以整份取用,也可以按需求拼裝。

三份範本怎麼選

範本 風格 適合什麼情境
範本一 完整版供應商 ISR 國際/外商風格,對齊 NIST 網路安全框架、ISO 27001/27701、SOC 2、GDPR 跨國供應商、大型委外,需要一份從治理到技術都涵蓋的完整資安附件時
範本二 本土採購合約 ISR 條款 台式甲乙方合約用語,聚焦應用系統、後台存取控制、加密細則 一般本土軟體採購或系統開發委外,要把資安要求直接寫進合約條款時
範本三 壽險委外特化 ISR 引用保險法、個資法與委外相關自律規範,含消費者權益條款 保險業(或其他受金融監理產業)核心/非核心作業委外時

三份都是我實際用過、整理過的版本:範本一偏「完整框架」,範本二偏「合約可執行條款」,範本三則把保險業的法遵要求補進去。實務上常見的做法是以其中一份為主體,再把另外兩份裡符合你需求的條款補進來。條款裡的違約金比例、資料留存年限等空格,記得依實際情況填寫。

範本一:完整版供應商 ISR(國際/外商風格)

這份偏國際/外商風格,用語上把委外廠商稱為「乙方」、發包方稱為「本公司」。特點是從資訊安全治理、名詞定義,一路涵蓋到數據保護程序、安全實踐措施與一般規定,對齊 NIST 網路安全框架與 ISO 27001/27701,適合當作一份完整的資安附件。

一、 目的

本 ISR 訂定了針對本公司數據的資訊安全規定,並將構成適用本公司主協議(「本協議」)的一部分,監管由您(「乙方」)根據該協議提供的服務(「服務」)。

履行服務時,乙方應遵守本 ISR 的所有規定;另外,針對所有乙方的僱員、經紀人、代表、分包商、分支機構、法律顧問、獨立會計師,以及可獲乙方授權存取、揭露、或依本協議允許自行收集本公司數據的其他各方當事人,乙方亦應促使上述人士遵守ISR 的所有規定。

二、 名詞定義

(一) 本公司數據:

  1. 由本公司與其分支機構,或其任何供應商和客戶所擁有,或由第三者(包括乙方自己)授權存取的數據或資訊;根據談判及/或本協議的內容,抑或本協議列明的義務,乙方有權存取以上資訊(無論在本合約生效之前或之後),包括個人身份資訊,以至下列所有數據和資訊:

         i.本公司與其分支機構,或其任何供應商和客戶的業務、客戶、要保人、索賠人、行銷夥伴、員工、運營機構、設施、產品、費率、法規遵循、競爭對手、消費者市場、資產、支出、合併、收購、資產分割、帳單、收款、收入和財務。

         ii.乙方履行本協議列明的義務時所建立、產生、收集或處理的資訊,包括處理數據輸入輸出、服務水平測量、資產資訊、報告、第三者服務與產品協議和合同費用。

  2. 任何上述項目的衍生工具。

(二) 違約:
1. 未經授權下使用、遺失、揭露或存取本公司數據。
2. 未能按照資訊安全最佳做法提供服務。

(三) 資訊安全最佳做法:

指符合下列條件的行為:

  1. 隱私與資訊安全最佳做法,與 NIST 網絡安全框架(如 ISO 27001、ISO 27701)列明的適用參考資訊一致。
  2. 本ISR 或協議所訂定的安全規定、標準、義務、規格和事件報告程序。
  3. 任何法律要求的其他適用規定、標準、義務、規格及/或事件報告程序。

(四) 法律:
指所有適用於本公司或乙方之國際、聯邦、州、省、區域、地區和地方法律、法規、條例、規定、規則、行政命令、監督要求、指示、通知、意見、函釋,以及其他由任何政府、有權單位、部門或機構,包括根據隱私保護法發出的官方文件。
(五) 個人身份資訊 (PII):
指任何包含一個或多個唯一識別碼的本公司數據,並可從中確認或存取該人身份:例如其全名、國家註冊號碼、社會保險或社會保障號碼、護照號碼、駕駛執照、其他由政府頒發的身份證明號碼、信用卡、金融卡、財務帳戶資訊、出生日期、親屬姓名、醫療資訊、健康保險資訊、生物特徵記錄、數位簽名文件、帳戶登錄資訊(如可用作登入帳戶的用戶名、電郵和密碼組合),以及受隱私保護法保護的任何其他資訊。
(六) 隱私保護法
指任何適用於本公司或乙方之國際、聯邦、州、省或其他當地法律、法規或規則,涉及數據隱私、資訊安全、個人身份資訊、盜用身份、數據洩漏通知、跨境數據流通或數據保護,如個人資料保護法、General Data Protection Regulation。
(七) 下包商:
指任何團體或獨立第三者,包括但不限於任何分包商、離岸服務提供商、代理商、外包商等,而可處理、儲存或存取任何本公司數據,或以本公司名義收集數據 (須獲本公司事先書面批准)。

三、 數據保護

(一) 數據限制
乙方承諾並同意:
1. 未經本公司事先書面許可,不得向任何第三者出售、轉讓、授權存取或行銷本公司數據。
2. 不會為了私人目的,或向本公司以外任何人員或團體的利益而使用本公司數據,並只會在履行義務提供服務的情況下,使用和披露這些數據。
(二) 終止
根據本公司自行判斷,如果提供商的實體和數據安全控制並不足以保護本公司數據,本公司可以 執行下列權益:
1. 在通知乙方後,終止(提供商亦應馬上終止)乙方和其下包商任何/所有服務,
2. 於10個工作天內,終止與乙方訂立的適用協議或其他協議書,並發出書面通知,且無須就終止協議承擔任何責任。

四、 修正與重建

乙方應開發並維護可重建遺失本公司數據的程序,亦應修正任何由乙方或其下包商造成的本公司數據錯誤、毀壞、遺失或變更,而本公司無須繳付任何費用。

五、 數據處理

乙方於履行義務和行使本協議列明的權利時,應遵守隱私保護法所有內容。
乙方應和本公司合作,就提供或接收服務相關事項,依照主管機關要求申報、揭露或註冊任何資訊。
如乙方或其下包商會代表本公司處理與本協議有關的 PII,提供商應確保下包商者,遵行下列事宜:

     (一) 僅遵從並按照本公司的指示處理此類 PII,如非為了提供服務,則不應處理此類 PII。
     (二) 應提供適當之行政、技術和實體保護措施,保護 PII 不被意外或非法破壞、意外遺失、變更,或於未經授權的情況下經揭露或存取(特別但不限於牽涉數據傳輸),以及所有其他非法或未經授權的處理方式。
     (三) 應視 PII 為機密資料,未經本公司事先書面同意,不得向任何人披露。
     (四) 針對需存取有關資料方可提供服務的乙方或下包商員工,亦應限制其訪問權。
     (五) 如發現任何未經授權存取或非法處理 PII 的情況,應及早通知本公司。
     (六) 當無須利用本公司數據提供服務、或已無必要保留有關資料時,應即時且以其他方式安全刪除本公司數據以確保資訊無法重現並提供已完成刪除之佐證或聲明書予本公司,抑或按本公司指示把本公司數據還給本公司。
     (七) 任何行為均不得使本公司違反隱私保護法。

六、 數據保護程序

在本協議期間,並由乙方管理或控制本公司數據的任何時候,乙方應建立並維護完整書面數據安全程式,包括行政,技術和實體政策、程序和保護措施,以保護本公司數據。

乙方的數據安全程序應滿足下列要求:

     (一) 可確保本公司數據安全、完整、可用和保持機密。
     (二) 預防任何可威脅或危害本公司數據安全或完整性的情況。
     (三) 保護本公司數據免遭破壞、遺失、變更,或於未經授權的情況下被存取。
     (四) 乙方的政策和程序應:

          1. 不比乙方保存性質類似的自身資訊時寬鬆。
          2. 不比本協議適用服務地區的行業標準最佳做法寬鬆。
          3. 應滿足法律要求。只要事前有合理書面通知,本公司便有權進行審核(且無須額外繳費),包括現場檢查,乙方的數據安全程式與控制程序。
          4. 乙方應配合本公司透過問卷、電子郵件、電話、及/或線上會議(包括取得乙方的政策、流程或其他相關書面,且得為便利審查必要時合理接觸乙方的員工)以執行安全控管審查。
          5. 在審查期間,乙方應將第三方獨立為其準備(且與依本協議書提供予本公司 之產品及/或服務相關)的外部查核報告(如 SOC 2 Type II 報告或ISO 27001證明書)的副本提供予本公司。
          6. 倘若本公司在其合理裁量下,發現乙方的安全控管有任何問題或缺失,乙方應在完成審查後的三十日內向本公司提出補救計劃,且應及時依據雙方所合意的補救計劃時程改正各該問題。

     (五) 如乙方需進入本公司系統方可提供服務,除經本公司事先書面同意下,不得從此類系統中複製或提取任何數據。
     (六) 作為服務的一部分,乙方應委由獨立第三者至少每年舉行一次脆弱性和威脅評估,發現任何威脅及/或漏洞,或可危及任何本公司數據安全性、機密性、可用性或完整性;並監管,測試和更新其數據安全程式,確保程式可有效運作,並符合本協議規定。
     (七) 乙方應編寫並維護安全事件回報程序,並應能顧及可能危害本公司數據保密性、完整性和可用性的威脅,並定期進行事故準備預習。如乙方發現或經知會任何意外,故意,或疑似違反本公司數據安全的情況,抑或任何非法或未經授權使用或揭露本公司數據的情形,便應採取下列措施:
          1. 應於發現違反或疑似違反本公司數據安全情況的24小時內,通知本公司資訊安全單位。
          2. 立即保護受影響系統,防止進一步或持續違規情況。
          3. 立即調查該違反或疑似違反安全規定個案,彌補任何對本公司數據造成的影響,分析根本原因,並按本公司要求提供相關分析執行摘要。

     (八) 乙方應清楚隱私保護法含有違規通知義務,要求 PII 所有者和有權持有人,知會任何未經授權接觸或使用此類資訊的情況。
     (九) 如乙方發現任何可能違背法律義務的情況,便應馬上書面通知本公司,並與本公司充分合作,令本公司能夠履行相關的法律義務。
     (十) 如有必要,乙方應與本公司合作編寫與發佈此類通知;本公司將保留核准任何此類通知內容的最終權利(受制於適用法律)。
     (十一) 乙方應承擔與涉及本公司數據之違規情況有關的所有費用,但違規行為是由本公司違反本 ISR 列明的本公司明確義務行為直接造成者不在此限。
     (十二) 乙方應提供任何和一切協助、合作和支持,以滿足合理要求調查任何安全事件、違規情況、故意欺詐或其他災難。

七、 安全實踐措施

乙方應根據資訊安全最佳做法提供所有服務。即使本協議載有任何相反規定,乙方同意至少實施並維護以下安全監控:
(一) 隔離 **
1. 就所有網際網路連接,以及任何 DMZ 和內部網路之間的連接建立防火牆
2. 在技術上可行的情況下,向乙方的任何其他客戶以邏輯或物理方式隔離所有本公司數據,並防止提供服務的乙方員工或下包商,可在任何共享環境中存取數據。
3. 以邏輯或物理方式隔離生產環境與非生產環境(如開發、測試、質量保證)
(二) 預設參數 **
1. 連接供應商提供的設備到網絡前,請酌情更改預設密碼和配置
2. 僅啟用特定系統功能所需,且屬必要且安全的服務和協議
3. 更新並維護系統配置,方式應與行業慣例和乙方系統強化標準一致
(三) 儲存數據
1. 維護並遵循安全刪除流程,刪除不再需要的電子和印刷媒體
2. 使用加密系統(如 bcrypt)散列或加密儲存密碼,符合資訊安全最佳做法
3. 如無事先清洗或屏蔽,嚴禁把 PII 儲存在非生產環境中
(四) 解密
1. 使用強大的加密和安全協議,在公開網路傳輸過程中保護本公司數據和密碼,並在可拆卸媒體(如備份磁帶、筆記本電腦、行動硬碟、隨身碟等)上進行儲存。
2. 確保企業無線網路須採符合行業標準,採用強大的加密認證和傳輸系統
3. 使用控制,包括加密程式,確保本公司數據於乙方擁有或控制的情況下安然無恙。在乙方確定此類加密不可行的情況下,應採用其他有效替代控制措施;但須率先通過乙方之資訊安全最高主管批准,並最少每年審核一次。
(五) 漏洞管理
1. 在所有容易受惡意軟體(特別是個人電腦和伺服器)影響的系統上,安裝並維護防病毒或惡意軟體之程式
2. 確保所有防病毒或惡意軟體機制(如病毒簽名)不中斷,並維護審核日誌至少90 天
3. 在發布一個月內安裝重要安全修補程序
4. 根據安全編碼指南開發應用程式,預防軟體開發中常見的編碼漏洞(如 OWASP 所列清單)
5. 通過手動或自動化漏洞安全評估工具等方法,審查網路和公開網路應用程式,頻率建議至少為一年4次,或於進行變更後審查;並在發現高風險或重大風險漏洞的30天內修復所有問題
(六) 數據存取控制
1. 僅限於由乙方維護的特權用戶,方得接觸本公司數據,且只能獲取工作職責所需的權限。
2. 採用多重身份驗證(如密碼、智能卡或生物特徵),才可經外部網路遠端進入乙方內部網絡
3. 立即撤銷終止用戶的登錄權限
4. 至少每半年審查用戶存取乙方系統權限一次,以確保合理接觸及使用
5. 如任何乙方用戶能夠進入已終止的本公司系統,或不再由需要之本公司系統的業務支援,請馬上通知本公司
6. 切勿使用群組,共享或通用帳戶和密碼
7. 限制密碼長度為最小8個字元,並由下列 4項中至少(3項組成:大寫字母、小寫字母、特殊字體和數字
8. 須在最多6次嘗試登入失敗後鎖定用戶帳號,並需要求管理員解鎖帳號或等候30分鐘
9. 使用者帳戶密碼應至少 90 日內到期更換且不得重覆使用同一使用者帳戶過去用過的12個密碼。
(七) 監測 **
1. 應考量安裝自動化審計追踪,以重演事件,方便檢測或回報安全事件。
2. 設置系統時間,確保其準確無誤,於不同系統上皆一致,並採用業界認可的時間來源。
3. 加密審核日誌,確保相關檔案無法修改;保留日誌數據一年
4. 使用入侵檢測系統及/或入侵防禦系統,監控網路周邊所有流量
(八) 物理和環境控制 **
1. 實施並維護物理存取控制,包括僅限授權人員進入設施,僅限工作職責所需人士登入敏感區域(如數據中心),並設立適當訪客護送協議
2. 員工在儲存、接觸及處理本公司數據的設備出入口應設置 CCTV或監視錄影器。此外,保存本公司數據的電腦主機所在的資料庫房內外亦應設置監視錄影器且CCTV錄影器的紀錄,應保留90天。
3. 實施並維護環境控制,包括適當的火災偵測和抑制、冗餘電源、電池備份、水檢測、HVAC 和濕度控制系統
4. 實施並維護垃圾處理方案,方便安全處置敏感垃圾;敏感垃圾指包含或可能公開本公司數據的任何廢棄資料。

八、 一般規定

(一) 安全管理
乙方應向使用或接觸本公司數據的所有員工和下包商提供(或旨在提供)資訊安全意識培訓。培訓目的為教導他們保持敏感個人和企業資訊的保密性、完整性和可用性,亦應至少每年舉辦一次。乙方的安全管理員須為所有乙方和下包商的員工,獲授權使用或進入包含本公司數據的系統承擔全部責任;並為乙方建立能安全並及時建立和刪除特定管理帳戶的程序。乙方應執行義務分離、需要知情和最低特權的安全接觸原則。
(二) 下包商
乙方取得接觸本公司數據前,應在下包商得接觸本公司資訊前,就本 ISR 提及任何有關數據隱私和安全相關規定,要求訂立書面合約。本公司有權事先審查和核准任何下包商。如下包冏的任何作為或不作為違反本 ISR,即等同乙方違約,乙方應負擔一切責任。乙方應就執行任何服務時採用的下包商負上全部責任。

立約人

乙方:
OOOO會計師事務所







(請廠商蓋印大小章)






本公司:
xxxxx股份有限公司







(公司大小章)

範本二:本土採購合約 ISR 條款(甲乙方版)

這份採台灣本土採購合約常見的「甲方/乙方」用語(甲方=發包單位、乙方=供應商),條款寫得更貼近可以直接放進合約的形式,聚焦在應用系統資安、後台存取控制、權限授與與加密的具體要求。條款裡的違約金比例(○/○倍)請依實際狀況擇一填寫。

一、 資訊安全責任

(一) 乙方及其人員(包含但不限於受僱人、代理人、使用人及履行輔助人,以下同)不得於合約標的、甲方硬體或軟體(或甲方之設備)安設任何後門、惡意攻擊或病毒程式或其他未經授權之軟體,且除經甲方書面同意外,乙方及其人員亦不得安裝任何含有遠端遙控功能之程式/軟體。如有違反,乙方應給付甲方依本合約總價款百分之○/○倍【依實際擇ㄧ填載】計算之懲罰性違約金,甲方並得終止或解除本合約。如造成甲方損害,乙方應負全部賠償責任。

(二) 乙方及其人員履行本合約,如有不法侵入、擷取或竄改甲方程式、資料等情事,乙方應給付甲方依本合約總價款百分之○/○倍【依實際擇ㄧ填載】計算之懲罰性違約金,甲方並得終止或解除本合約。如因此致甲方或甲方關係企業、客戶、員工遭受第三人請求或其他損害時,乙方應與該行為人對甲方或甲方關係企業、客戶、員工負連帶賠償責任。

(三) 乙方應確實遵守甲方資訊安全之相關規範(包含但不限於甲方資訊安全政策、管理辦法)。

(四) 乙方於甲方環境之外安裝建置具連網傳輸功能之各類設備或系統,乙方於交付甲方前,須完成下列資訊安全管理事項並提出相關證明;如因專案特性不適用者,則經需甲方資訊安全單位審核確認。

二、 應用系統資訊安全要求

(一) 應用系統查詢個人資料之稽核紀錄,若有涉及,應留存包括但不限於下列項目:登入/登出紀錄;密碼變更紀錄;使用者查詢、列印、新增、修改、刪除等功能紀錄;檔案傳輸紀錄等。

(二) 資料庫存取之稽核軌跡,若有涉及,應留存包含但不限於下列項目:查詢(Enquiry) 選取(Select) 更新(Update) 新增(Insert) 刪除(Delete) 登入/登出紀錄。

(三) 應使用適當工具保存稽核軌跡紀錄,定期產出管理報表,並將相關軌跡紀錄留存備查。

(四) 與個人資料相關之軌跡紀錄應至少留存五年。但法令另有規定或契約另有約定者,不在此限。

(五) 應用程式和系統安全,本專案客製開發之網頁、API、WebService或任何用以進行身份驗證或傳輸資料之管道,若有涉及,應採 TLS 1.2以上之通道加密,或其他經最新版NIST SP800-57認可安全強度相同之演算法;另,非屬本公司之外部伺服器須與本公司連接或進行資料傳輸或公文交換,僅允許連入本公司DMZ或 Extranet之伺服器,不可從網際網路(Internet)直接連入本公司其他區域。

(六) 須辦理原始碼檢測,以利確認程式設計能否有效防禦資料隱碼功擊或其他網路攻擊。

(七) 系統需確認輸入/輸出資料之正確性,並限制輸入資料類型、字元長度,以避免資料隱碼(SQL injection)或緩衝區溢位(buffer overflow)等攻擊。

(八) 正式環境、測試環境、開發環境需分開。

(九) 應有程式版本控制及程式變更管理作業程序,並配合甲方作業規範。

(十) 除非經由甲方核可,不可使用真實的個人資料或敏感資訊進行系統測試。

(十一) 應避免將客戶真實資料複製至測試環境作業,如確有,須將未去識別化個資複製至測試環境作業之業務需求,除應建立申請、刪除、留存完整稽核軌跡等管控程序外,並應嚴格管理該等資料檔案之存取權限。

(十二) 建立程式原始碼存取控制措施,包括集中並儲存在特定地點(source libraries)、存取作業程序、設定存取權限、保存在安全的環境,應配合甲方作業規範。

(十三) 應建立應用程式的特殊權限帳號(Privileged Accounts)之管理計劃。

三、 後台存取控制安全

(一) 身分驗證(Authentication)

(二) 使用者應經身分驗證後,方可登入系統。

(三) 帳號命名原則應符合甲方網域帳號之命名原則,且不能與現行其他系統之命名原則有衝突。

(四) 後臺部分由甲方網域(AD)控管系統登入身分驗證及授權。

(五) 系統前臺之密碼建置,應符合系統後台所設定之約定。

(六) 密碼鎖定:嘗試輸入密碼 5 次不成功之後,需至少鎖定 30 分鐘或使用者帳號必須鎖定直到資訊安全管理人員進行重設。

(七) 密碼於儲存時應先進行不可逆運算(如雜湊演算法),雜湊值應進行加密保護或加入不可得知的資料運算。

(八) 應限制帳號進行重複登入。

(九) 在輸入密碼時,螢幕上不可顯示密碼字元。

(十) 在登入過程中,系統不提供提醒資訊,以避免未經授權人員嘗試登入。當部分或全部密碼輸入不正確時,系統不會提供明確的錯誤訊息(例如明確告知是使用者名稱錯誤或是密碼錯誤),亦即當使用者帳號及密碼輸入錯誤,系統只會顯示登入失敗。

(十一) 登入系統後,若帳號沒有任何使用行為已逾 30 分鐘,應要求重新登入。

四、 權限授與(Authorization)

(一) 帳號之權限應以群組方式授予,且群組應有命名原則。

(二) 群組權限之設計,應符合職能分工原則。

(三) 僅經授權可執行帳號管理人員之群組可執行使用者帳號之新增、刪除、更新與群組權限授予之功能。

(四) 不得使用最高權限帳號(如Administrator、Root或等同權限)作為執行服務、排程、元件服務、ODBC連線、程式過版等用途。

(五) 本系統需保留使用者之登入紀錄(Access log),其登入記錄至少須包含登入帳號、角色、單位、登入時間、登入 IP、登入結果,須包含人事時地物的稽核軌跡。

(六) 本系統需建立登入逾時控制(Time Out),對於登入後超過一定時間未動作之 使用者將自動登出,且逾時時間需以參數設定。

(七) 本系統需建立授權異動紀錄保留授權之變更歷程,其異動記錄至少須包含帳號、變更時間、變更類別、變更前後內容。

(八) 使用者授權作業功能含新增、刪除、變更等。

(九) 需提供系統管理人員使用者帳號管理、使用者權限管理、使用者群組管理及使用者操作記錄查詢等使用者管理功能。

五、 權限覆核及資安紀錄檔

(一) 應導入日誌管理 (Log Management) 以保留系統存取、使用者登入紀
錄,這些日誌記錄無法修改,具備有不可否認性,並且提供完整的稽核軌跡紀錄。

(二) 提供以人工或系統自動匯出帳號與權限相關資訊之報表,以供系統擁有單位與使用者作帳號及權限之定期覆核。

(三) 所有使用者帳號之新增、刪除、更新與權限變更之紀錄必須被安全地留存,且應於定期覆核之報表呈現。

(四) 重要且與資安事件相關之帳號存取記錄與特殊權限帳號使用紀錄,必須安全地留存,且應於定期覆核之報表呈現,以作為稽核與定期查核之依據。重要且與資安事件相關之事件包括不當登入、不當之資源存取、特殊權限帳號之不當使用、帳號之啟用與刪除、修改系統安全設定值等。

(五) 擁有特殊權限帳號之人員不能將其帳號之使用紀錄或其他與資安事件相關紀錄隱藏或刪除,以避開顯示於定期覆核報表。

(六) 系統必須保留有足夠的資源來處理與存放帳號存取記錄與特殊權限帳號使用紀錄,此紀錄不能被修改,只能經由授權而讀取,線上必須保留 180 天,紀錄須至少保留 18 個月。

六、 加密

(一) 經由網路傳輸機密資料,須以符合甲方規範方式加密。如:登入時頁面所輸入的資料,在網頁傳輸過程中需使用 https 加密;傳輸檔案需使用 secure FTP)

(二) 網頁資料傳輸應使用 SSL 通訊協定加密,SSL 憑證加密的強度至少為 AES 128 bits,SSL 憑證金錀長度至少為 2048 bits 及具有延伸驗證 (Extended Validation)功能。

(三) 密碼於儲存時應先進行不可逆運算(如雜湊演算法),雜湊值應進行加密保護或加入不可得知的資料運算。

(四) 經由 e-Mail 傳輸資料時,資料須使用 AES 演算法加密或其它符合甲方規範方式加密。

(五) 不可於開放網路環境使用 FTP 傳輸資料,資料須使用 SSH或其他經最新版NIST SP800-57 認可安全強度相同之演算法。

(六) 加密金鑰應妥善的保存並建立完整的作業程序,從金鑰產生、分派啟用、儲存、更新、廢止、封存和銷毀。

(七) 廠商不得將任何可識別本公司客戶之資料以直接或間接方式傳送至雲端或非本公司所屬之伺服器進行處理或儲存。

(八) 廠商所提供軟體(或交付標的物)為交付產品,需具備合法性且不得違反智慧財產權之規定或侵害第三人合法權益。另,交付之系統或程式,廠商應確保無惡意程式及後門程式,或提供相關掃描報告

(九) 廠商於執行本專案相關工作時,需確實遵守本公司資訊安全政策之相關規定。

範本三:壽險委外特化 ISR

這份是針對保險業(壽險)作業委外量身寫的版本,除了一般資安要求,還把保險法、洗錢防制法、個人資料保護法、保險業作業委託他人處理應注意事項等法遵要求,以及消費者權益保障條款一併納入,適合受金融監理的產業做核心或非核心作業委外時參考。

一、 基本條款

(一) 乙方所指派人員應配合甲方門禁及安全管制措施,乙方因本專案而知悉或取得甲方或甲方客戶之一切資料,均視為甲方營業秘密,乙方及乙方所屬人員應負永久保密義務,絕不得對任何第三人洩露,否則經雙方認定為乙方所應負責任,則乙方及其所屬人員應負連帶損害賠償責任。本條款於專案終止或期滿後仍有絕對效力。

(二) 乙方不得以甲方人員自居,且未經甲方書面同意前,不得以甲方或甲方代理人之名義執行本合約或辦理受託處理事項,包括但不限於刊登廣告或印刷物品製作、電話問候、寄發信件或洽談、懸掛易讓人誤認係甲方之招牌或其他易使人誤認係甲方分支機構之行為或從事其他有損甲方形象或權益之行為。甲方如有發現乙方人員於執行本業務時有任何違反本合約協議或不法之行為者,得以書面通知乙方處理。

(三) 乙方處理受委任事務時,不得違反法令強制或禁止規定、公共秩序及善良風俗,並應遵循保險法、洗錢防制法、個人資料保護法、消費者保護法、金融消費者保護法、保險業作業委託他人處理應注意事項、人身保險業委託其他機構代收保險費、保險單借款本息或保險契約其他相關款項自律規範及相關法令之規定。

(四) 乙方應以善良管理人之注意義務及誠信原則履行受委任之事務。不得使用任何不正當、不法之手段,亦不得為任何直接或間接有損害甲方名譽或為對甲方或甲方之客戶不利之行為,除經甲方書面同意者外,乙方不得承諾甲方之客戶任何事項,包括但不限於簽具任何文件或收受不正當利益。

(五) 乙方應就處理受任事務依甲方督導訂定標準作業程序,執行內部控制、內部稽核制度及消費者權益保障、資料保密及安全措施與風險控管,並同意甲方日後進行必要之檢查。倘前述標準作業程序及其執行等作業經甲方建議有修訂或改善之需要,乙方應依甲方之建議進行變更。

(六) 倘應主管機關之要求,乙方同意就處理受任事務範圍內配合提出相關資料或報告,及配合進行金融檢查,或依主管機關之命令於限期內提供相關資料或報告。

(七) 倘因乙方破產、解散、重整(不論該主管機關是否核准)、停止營業、被金融機構列為拒絕往來戶或政府相關法令規章之限制變更而無法履行本合約(包括主管機關命其終止或解約)時,乙方應立即通知甲方,於甲方收受乙方通知或主管機關命令時,本合約即時無條件自動終止。

(八) 對本工作乙方不得重製、販賣及為其他一切違法侵害甲方權益之行為。

二、 涉及消費者權益或其個人資料條款

(一) 因乙方處理本受託事務而與甲方之客戶發生糾紛時,應負責處理向甲方之客戶解釋,同時於獲知客戶申訴後3日內通知甲方所指定之處理人員,並應盡力圓滿協助解決糾紛,若因非可歸責於甲方之事由造成甲方受有損失者,乙方應負損害賠償之責。

(二) 受託業務如有涉及甲方消費者權益保障、風險管理及內部控制作業,乙方應就受託業務建置消費者爭端解決機制(包括解決時程、設置申訴協調處理單位受理消費者之申訴與解決程序及補救措施),並應接受甲方之監督。

(三) 乙方受託業務如有涉及甲方消費者契約資訊者,應依個人資料保護法相關規定辦理,並負有以書面或其他適當方式告知上述消費者之義務。嗣後若主管機關就告知消費者之方式另有規定時,乙方應依該規定辦理。

(四) 乙方應同意必要時得由甲方所指定之人,對受託事項進行查核。

三、 資訊系統委外條款

(一) 乙方履行合約或協議時所提供軟體或交付標的物為交付產品,需具備合法性,且不得違反智慧財產權之規定或侵害第三人合法權益,並須確認軟體含元件之使用版權及安全性。

(二) 乙方同意如提供本合約下服務過程中涉及甲方客戶、員工或他人個人資料時,乙方應採行適當之安全維護必要措施,包含但不限於下列措施:

  1. 配置管理之人員及相當資源。
  2. 界定個人資料之範圍。
  3. 個人資料之風險評估及管理機制。
  4. 事故之預防、通報及應變機制。
  5. 個人資料蒐集、處理及利用之內部管理程序。
  6. 資料安全管理及人員管理。
  7. 認知宣導及教育訓練。
  8. 設備安全管理。
  9. 資料安全稽核機制。
  10. 使用紀錄、軌跡資料及證據之保存。
  11. 個人資料安全維護之整體持續改善

(三) 乙方應至少每季進行一次作業系統之弱點掃描、程式碼掃描或黑箱測試,並針對其掃描或測試結果進行風險評估,於保險業辦理資訊安全防護自律規範所定時限內修補完成或完成補償性控制措施,評估為中、低風險應訂定適當措施及完成時間,執行矯正、紀錄處理情形並追蹤改善。

(四) 乙方履行合約或協議時所提供軟體、系統、程式或交付標的物,應確保無惡意程式及後門程式,並提供相關掃描報告,倘有被通報或偵測出資安弱點,乙方應配合甲方時程進行弱點修補。

(五) 倘發生資安事件,乙方應於甲方通知後4小時內至甲方維護標的現場協助事件處理與調查;事件若係由乙方故意或過失所致者,數位鑑識、事件分析與處理之費用應由乙方負擔,以不超過本專案百分之二十為上限。

(六) 資訊系統作業委外終止或結束時,乙方應提供移轉服務,將留存資料移回至甲方自行處理,並應刪除或銷毀全數資料,且提供刪除或銷毀之佐證資訊與紀錄予甲方。

(七) 乙方應配合甲方之資訊安全事件之通報流程及處理程序,並就發生符合任一方所訂之資訊安全事件,向甲方進行通報及處理。

(八) 乙方提供之優規產品或服務,仍需確認可能產生之資安風險。

(九) 乙方及其人員(包含但不限於受僱人、代理人、使用人及履行輔助人,以下同)不得於合約標的、甲方硬體或軟體(或甲方之設備)安設任何後門、惡意攻擊或病毒程式或其他未經授權之軟體,且除經甲方書面同意外,乙方及其人員亦不得安裝任何含有遠端遙控功能之程式/軟體。如有違反,乙方應給付甲方依本合約總價款百分之OO計算之懲罰性違約金,甲方並得終止或解除本合約。如造成甲方損害,乙方應負全部賠償責任。

(十) 乙方及其人員履行本合約,如有不法侵入、擷取或竄改甲方程式、資料等情事,乙方應給付甲方依本合約總價款百分之OO計算之懲罰性違約金,甲方並得終止或解除本合約。如因此致甲方或甲方關係企業、客戶、員工遭受第三人請求或其他損害時,乙方應與該行為人對甲方或甲方關係企業、客戶、員工負連帶賠償責任。