四、作業要領
    （一）國軍資通系統委外專案，依國軍資通安全責任等級分級作業指
          導之資通系統防護需求分級原則，區分普、中、高級（如附表
          一），計畫申購單位應訂定資通安全查核及系統防護基準，並
          將下列書表納入採購契約（協議書）規範
          1.委外資通系統服務之安全管控項目查核表（如附表二）：
           (1)計畫申購單位完成資通系統分級，並依適用分級訂定查核
              表，經資訊（安）部門審查確認後，將表內相關資通要求
              納入採購相關文件，並於合約內明定廠商應配合執行資安
              管控事項。
           (2)適用分級為普、中、高級全部等級者，所有系統均應列入
              ；另計畫申購單位考量預算限制等因素，且經資訊（安）
              部門評估為可接受之風險後，得於備註欄註明原因，選擇
              不予納入。
          2.委外廠商資安自我查核項目表（如附表三）：
           (1)得標廠商應依採購契約要求完成資安自我查核，計畫申購
              單位及資通（安）部門應於履約期間依項目表進行資安查
              核作業（專案期間至少一次；另專案期程如超過一年以上
              者，每年至少一次）。
           (2)專案如屬單位駐點、人力派遣性質，且系統發展未在委外
              廠商本身公司環境者（非在委外廠商公司環境發展、維護
              ），檢核內容屬廠商公司環境項目，得納入不適用範圍。
          3.資通系統防護基準確認書（如附表四）：
           (1)計畫申購單位依專案性質及適用分級之資安防護需求填載
              確認書，納入採購文件，於系統建置完畢，採購驗收或上
              線啟用前進行自我檢核，經確認安全無虞後，納入履約驗
              收文件，驗收合格始上線運行。
           (2)確認書之填載，得依專案屬性（如系統發展、系統維護等
              ）刪減不適用項目。
    （二）本要點依採購流程分成前、中、後三作業階段如附表五：
          1.採購作業前期：於計畫編製階段，由計畫申購單位將委外資
            通系統服務之安全管控項目查核表，依專案需求完成查核表
            自檢，審查確認後納入採購相關文件，律定廠商應須配合執
            行資安管控事項。
          2.採購作業中期：得標廠商依「委外廠商資安自我查核項目表
            」完成自檢後，提供計畫申購單位，於專案執行階段由計畫
            申購單位偕同單位資通（安）單位於履約期間對委外廠商（
            含分包商）進行資安查核作業。
          3.採購作業後期：計畫申購單位於系統建置完畢，專案採購驗
            收或上線啟用前，依防護基準進行自我檢核，經確認安全無
            虞後，納入履約驗收文件，驗收合格始上線運行。
    （三）採購需求文件載明服務水準及資安要求：
          1.計畫申購單位得依「政府資訊服務採購作業指引」所定「常
            用資訊服務等級協議（ SLA）之參考項目」，按個案採購類
            型及需求，妥適選擇必要項目，並於招標文件載明，以利廠
            商合理估價及遵循。
          2.計畫申購單位得參考「各類資訊（服務）採購共通性資通安
            全基本要求參考一覽表」，擇定涉及資安之履約項目，並於
            招標文件中載明；資訊財物採購亦得參考上開一覽表擇定須
            符合之資安項目。

一、第一款序文酌作標點符號修正。
二、依行政院公共工程委員會一百十二年九月二十五日工程企字第一一二
    ００二二七０一號函釋，各機關委外廠商辦理資訊、資安事項，須參
    酌「政府資訊服務採購作業指引」及「各類資訊（服務）採購之共通
    性資通安全基本要求參考一覽表」，增訂第三款，明定採購需求文件
    之載明服務水準及資安要求。

六、各單位辦理委外辦理資通系統服務作業時，確依行政院訂定之「資通
    系統籌獲各階段資安強化措施」及「政府資訊服務採購作業指引」，
    強化籌獲各階段資安措施。

增列強化籌獲各階段資安措施須遵循之規範，理由同第四點說明二。