請購單位之採購屬於資訊服務採購時，請依照「資通安全責任等級分級辦法 附表九 資通系統防護需求分級原則」

資訊服務採購為：資本門-軟體、電腦設備 經常門-資訊服務

須於採購規格中加註一項為「本資訊服務防護基準需求等級為：□高 □中 □普」

資訊服務採購為：資訊系統開發、維護、修改功能時才加註下列一項

得標廠商須參照「資通安全責任等級分級辦法 附表十 資通系統防護基準」對應之需求等級應辦事項協助辦理資安防護工作。

請購單位在進行資訊服務採購時，建議參考以下事項配合辦理，或是於採購規格、招標廠商資格中明訂資安規範。

一、請購單位人員需詳閱並參照本校委外管理程序書(ISMS-2-09-00)的規範以作為資訊服務採購之依據。(請參照本校資安專區-ISMS文件)

二、進行資訊服務採購時，如為資訊系統委外開發、維護時，建議於投標廠商資格中明訂投標廠商需通過第三方資訊安全驗證或具有完善資通安全管理措施。

三、委外資訊服務如包含客制化系統開發、維護、修改功能時，得標廠商在辦理其業務時，應指定資安管理人員協助配合本校委外服務資安檢視作業。

四、委外資訊服務如包含客製化系統開發、維護、修改功能時，得標廠商應提供至少一項之安全性檢測證明。(如：源碼檢測、弱點掃描、滲透測試、資安健診)

五、如非屬於上述性質之資訊服務採購(如購置套裝軟體、資安檢測服務)時，則須配合本校招標文件之規範。

範例：

一、採購規格

1. 期間 ○○○年○○月○○日~○○○年○○月○○日

2. 提供○○○○○○○服務

3. 本資訊服務防護基準需求等級為：□高 □中 ■普

4. 得標廠商須參照「資通安全責任等級分級辦法 附表十 資通系統防護基準」對應之需求等級應辦事項協助辦理資安防護工作。

二、投標廠商基本資格

1. 投標廠商應具通過資安規範之證明或證書，(如：ISO27001資訊管理證書)，投標時須檢附證明文件或證書影本。

文件下載：

資通安全責任等級分級辦法 附表九 資通系統防護需求分級原則

資通安全責任等級分級辦法 附表十 資通系統防護基準

亞東科技大學相關資安管理作業廠商自我評估表(限校內同仁查看)