資通安全責任:
- 廠商應遵守資通安全管理法、其相關子法及行政院所頒訂之各項資通安全規範及標準,並遵守機關資通安全管理及保密相關規定。此外機關保有依機關與廠商同意之適當方式對廠商及其分包廠商以派員稽核、委由資通安全管理法主管機關籌組專案團隊稽核或其他適當方式執行相關稽核或查核的權利,稽核結果不符合本契約約定、資通安全管理法、其相關子法、行政院所頒訂之各項資通安全規範及標準者,於接獲機關通知後應於期限內完成改善,未依限完成者,依第14條第1款約定核計逾期違約金。
- 廠商交付之軟硬體及文件,應先行檢查是否內藏惡意程式(如病毒、蠕蟲、特洛伊木馬、間諜軟體等)及隱密通道(covert channel),提出安全性檢測證明,涉及利用非受託者自行開發之系統或資源者,並應標示非自行開發之內容與其來源及提供授權證明。廠商於上線前應清除正式環境之測試資料與帳號及管理資料與帳號。
- 契約履約或終止後,廠商應刪除或銷毀執行服務所持有機關之相關資料,或依機關之指示返還或移交之,並保留執行紀錄。
- 廠商所提供之服務,如為軟體或系統發展,須針對各版本進行版本管理,並依照資安管理相關規範提供權限控管與存取紀錄保存。
- 廠商提供服務,如違反資通安全相關法令、知悉機關或廠商發生資安事件時,均必須於1小時內通報機關,提出緊急應變處置,並配合機關做後續處理;必要時,得由資通安全管理法主管機關於適當時機公告與事件相關之必要內容及因應措施,並提供相關協助。
- 廠商應確實執行組態管理(Configuration Management),以確保系統之完整性及一致性,以符合機關對系統品質及資通安全的要求。
- 廠商如違反第1目至第6目規定,應適用第15條之違約責任,並就機關所受損害負賠償之責;如致他人權利受有損害時,廠商亦應負責。
- 本案涉及資通訊軟體、硬體或服務等相關事務,廠商執行本案之團隊成員不得為陸籍人士,並不得提供及使用大陸廠牌資通訊產品。
關鍵基礎設施(或機關指定之設施)人員管制特別約定:
- 本採購履約標的涉關鍵基礎設施(或機關指定之設施),廠商及分包廠商之履約人員於進場或參與工作前,應配合機關之要求辦理適任性查核經機關審核同意者,始得進場或參與工作。屬臨時性進場者(例如送貨司機及其隨車人員)得免辦理查核,但應接受機關或其指定之單位或人員(例如但不限於專案管理單位)全程陪同或監督管理。
- 廠商及分包廠商之履約人員執行工作,應接受機關或其指定之單位或人員(例如但不限於專案管理單位)全程陪同或監督管理。