-
-
一、公司應評估資訊委外業務項目之資通安全可行性,及資訊服務供應商之集中度,包括評估資訊服務供應商作業能力,採取適當風險管控措施,確保業務項目委外處理之品質,並應注意委託資訊服務供應商之適度分散以控管作業風險,相關事項請參閱附件:「證券投資信託事業證券投資顧問事業資訊委外之資安應注意事項檢查表」進行檢核。資訊服務供應商選定之評估結果送交該資訊服務專案負責人核可,並依公司分層負責核決權限處理。
-
二、公司評選資訊服務供應商之原則如下,並應留存相關文件紀錄:
-
(一)資訊服務供應商之維運能力(如財務能力、專業能力及經驗實績等)。
-
(二)雲端運算服務供應商應具備完善之雲端運算資通安全管理措施或通過第三方驗證。
-
(三)第一類投信投顧業者之資訊服務供應商應具備完善之資通安全管理措施(提供管理措施與執行情形說明)或通過第三方驗證。
-
三、選商過程中如存在資訊資產交換,公司應備妥保密協議書,並於交換與採購產品或服務相關之機敏性資訊前簽署。
-
四、第一類投信投顧業者之資訊服務供應商提供之建議書應包含下列項目
-
(一)公司採購需求產品/服務。
-
(二)資訊服務供應商應符合之資安要求(例如:公司資安政策、證券投資信託事業證券投資顧問事業資通系統安全防護基準自律規範)。
-
(三)資訊服務供應商之專案管理能力(例如,具有至少一張有效期間內之專案管理相關證照或相關成功專案簡述)。