請購規格以及外包合約之「資安條款」及委外資通系統或服務注意事項

資安條款採購注意事項
一、為確保資訊安全,敬請各單位辦理「資通訊產品」採購案時,加上「禁止使用大陸廠牌條款」以及「委外資通訊系統或服務資安條款」。
二、適用範圍
禁止使用大陸廠牌條款: 可連網之資通訊硬體、一般套裝軟體(例:SPSS) 、套裝或客製化系統平台、系統相關維護合約。
委外資通訊系統或服務資安條款:套裝或客製化系統平台、系統相關維護合約。
三、加註條款
「禁止使用大陸廠牌條款」
•「請購規格」加註範例:
本案涉及資通訊軟體、硬體或服務等相關事務不得提供及使用大陸廠牌資通訊產品。

•「外包合約」加註範例:
1.為避免資訊外洩,造成甲方(本校)資通安全危害風險,乙方不得使用大陸廠牌之資通訊產品(包括但不限於軟體、硬體、服務或具連網能力、資料處理或控制功能之產品)連接或處理甲方設備及資料。
2.乙方願意配合甲方不定期辦理資安盤點作業,並落實甲方使用資通訊產品相關(含軟體、硬體及服務)原則。
3.乙方同意大陸廠牌認定方式,由甲方參考政府公告或建議從嚴認定之。
4.若乙方違反上述約定,應給付甲方本案總價兩倍之懲罰性違約金,如致甲方校譽減損或受有其他損害,並應另負損害賠償責任。




「委外資通訊系統或服務資安條款」
•「請購規格」加註範例:
本案涉及資通訊系統或服務等相關事務需配合本校外包系統條款注意事項(如下)。
1.廠商或承攬者承攬本校工作若涉及資訊或個人資料業務時,應遵守本校所制訂之各項資通安全、個人資料管理及保密等相關規定,並簽訂相關保密協定,倘經發現因可歸責於廠商或承攬者事由而洩密者,一切損害均由廠商或承攬者負責,並依法追究其各項法律責任。
2.廠商或承攬者因執行合約業務而違反個人資料保護法,致個人資料遭不法蒐集、處理、利用或其他侵害情事,廠商或承攬者應負損害賠償責任。
3.廠商或承攬者應配合本校資安相關措施,包括資訊安全演練、入侵偵測、弱點掃瞄或其他安全檢測方式,若發現需改善之系統漏洞,廠商或承攬者應依本校指示於時限內完成緊急應變處置,另廠商或承攬者應於事後提出書面改善計畫,並於雙方議定後進行修補改正。
4.當系統發生重大事故、中斷、錯誤無法運行,或系統無法復原之情境,廠商或承攬者應協助或支援備援資料還原或系統重新上線。
5.廠商或承攬者應配合本校定期業務持續運作演練,提供必要技術文件或支援,確保演練時系統中斷或災害發生時之應對處理。
6.廠商或承攬者所提供或使用之軟體、文件或圖片需合法並提供使用授權,如有違反智慧財產權者,廠商或承攬者應自行承擔所有法律責任,概與本校無涉。
7.廠商或承攬者履約結果涉及智慧財產權者,包括使用者登錄以及產出的資料或報表等,著作財產權歸本校所有,廠商或承攬者不得對本校行使著作人格權。
8.若廠商或承攬者有違反法律規定或前揭約定之情事發生,致他人權利或本校受有損害時,廠商或承攬者應負相關責任與協助後續處理。若本校因此遭第三人請求損害賠償時,應由廠商或承攬者負責處理並承擔一切最終法律責任。
9.廠商或承攬者應提供正式上線版程式原始碼,包含相關函式庫、相依套件、或足以重新建置運行之相關檔案。
10.廠商或承攬者應提供正式上線版資料庫結構,包含資料表名稱、欄位名稱、欄位描述、欄位類型、長度、允許空值等,以及提供本校資料庫資料檢視權限。

•「外包合約」加註範例:
1.乙方(廠商或承攬者)承攬甲方(本校)工作若涉及資訊或個人資料業務時,應遵守甲方所制訂之各項資通安全、個人資料管理及保密等相關規定,並簽訂相關保密協定,倘經發現因可歸責於乙方事由而洩密者,一切損害均由乙方負責,並依法追究其各項法律責任。
2.乙方因執行合約業務而違反個人資料保護法,致個人資料遭不法蒐集、處理、利用或其他侵害情事,乙方應負損害賠償責任。
3.乙方應配合甲方資安相關措施,包括資訊安全演練、入侵偵測、弱點掃瞄或其他安全檢測方式,若發現需改善之系統漏洞,乙方應依甲方指示於時限內完成緊急應變處置,另乙方應於事後提出書面改善計畫,並於雙方議定後進行修補改正。
4.當系統發生重大事故、中斷、錯誤無法運行,或系統無法復原之情境,乙方應協助或支援備援資料還原或系統重新上線。
5.乙方應配合甲方定期業務持續運作演練,提供必要技術文件或支援,確保演練時系統中斷或災害發生時之應對處理。
6.乙方所提供或使用之軟體、文件或圖片需合法並提供使用授權,如有違反智慧財產權者,乙方應自行承擔所有法律責任,概與甲方無涉。
7.乙方履約結果涉及智慧財產權者,包括使用者登錄以及產出的資料或報表等,著作財產權歸甲方所有,乙方不得對甲方行使著作人格權。
8.若乙方有違反法律規定或前揭約定之情事發生,致他人權利或甲方受有損害時,乙方應負相關責任與協助後續處理。若甲方因此遭第三人請求損害賠償時,應由乙方負責處理並承擔一切最終法律責任。
9.乙方應提供正式上線版程式原始碼,包含相關函式庫、相依套件、或足以重新建置運行之相關檔案。
10.乙方應提供正式上線版資料庫結構,包含資料表名稱、欄位名稱、欄位描述、欄位類型、長度、允許空值等,以及提供甲方資料庫資料檢視權限。

四、備註
1.「大陸廠牌」與「資通訊產品」說明請見:禁用大陸廠牌之資通訊產品(https://lis.cgust.edu.tw/p/412-1019-3515.php)。
2.「禁止使用大陸廠牌條款」依圖書資訊處2023年12月25日A12C18168號簽陳辦理。
3.「委外資通訊系統或服務資安條款」依圖書資訊處2024年5月27日A13520068號簽陳辦理。
批次下載附件