玖、系統發展及維護安全管理

四十、自行開發或委外發展系統，應在系統生命週期之初始階段，即將資
      訊安全需求納入考量訂定相關之作業手冊，以確保人員正確之操作
      及使用。

四十一、各單位辦理資訊業務委外作業，應於事前研提資訊安全需求，明
        訂廠商之資訊安全責任及保密規定並列入契約，要求廠商遵守。

四十二、各單位資訊系統應將正式作業環境及測試環境獨立分開，建立完
        整適當之變更控制程序，並嚴格執行，以降低可能的安全風險。

四十三、各單位對系統變更作業，應建立控管制度，並建立紀錄，以備查
        考。

四十四、各類程式版本之更換，應訂定作業程序，據以辦理；核定使用之
        程式，不得擅自變更，如有變更之必要時，應獲得權責主管人員
        核准使得為之。

四十五、對廠商之軟硬體系統建置及維護人員，應規範及限制其可接觸之
        系統與資料範圍，並嚴禁核發長期性之系統辨識碼及通行密碼。

四十六、委託廠商建置及維護重要之軟硬體設施，應在單位相關人員監督
        及陪同下始得為之。