各會員公司依保險業作業委託他人處理應注意事項辦理資訊系統作業委外 ，應於規劃及遴選階段，將資訊安全相關內容納入評估項目，以強化資訊 安全。並遵循下列事項： 一、服務提供廠商應具備資訊安全相關認證或已有資通安全維護之相關措 施。 二、審核作業委外廠商資格： （一）各會員公司應制定有關審核廠商資格之內控機制，並就作業委外提 供廠商進行評選審查作業。 （二）將資訊安全相關認證納入遴選項目，且應訂定內部程序，其至少包 含作業委外廠商遴選機制、合約或協議簽訂、作業委外廠商管理要 項、產品交付和驗收或維運等項目。 （三）各會員公司應將資訊安全或個人資料隱私管理相關認證納入資訊系 統之作業委外廠商評估項目。 （四）各會員公司之資訊系統委外時，應依據委外廠商規模或作業特性， 評估進行委外廠商監督。 三、作業委外廠商管理要項： （一）應建立作業委外廠商管理規範，其內容應含作業委外廠商之人員管 控，並建立適當檢驗機制，以確保管理機制有效落實。 （二）各會員公司之資訊系統委外廠商管理時，其管理項目應納入對委外 廠商存取資訊之控管機制、對委外廠商服務之資訊安全管理措施查 核機制、發生資安事故時委外廠商通知機制與應處時效要求、與委 外廠商關係終止管理機制等項目。 （三）作業委外廠商進行軟、硬體維運時，應具備資通安全維護之措施。 （四）若作業委外內容有重大變更或重大事件時，應審查是否影響相關資 訊安全管理制度或依循標準之要求並評估其風險，採取適當控制措 施。 （五）作業委外廠商簽訂合約或協議，應遵循相關安全管理措施，其內容 包含： 1.服務供應廠商履行合約或協議時所提供軟體（或交付標的物）為 交付產品，需具備合法性且不得違反智慧財產權之規定或侵害第 三人合法權益。 2.作業委外廠商進行資訊系統開發或維運時，若涉及客戶、員工個 人資料，需考量具個人資料安全防範措施。 3.應約定資安檢測與弱點修補之責任與時效要求。 4.應訂定相關資訊安全管理責任。 5.委外廠商交付之系統或程式，應確保無惡意程式及後門程式，或 提供相關掃描報告。 （六）資訊系統作業委外終止或結束時，委外廠商應提供移轉服務，將留 存資料移回至各會員公司自行處理，並應刪除或銷毀全數資料，且 提供刪除或銷毀之佐證資訊與紀錄。 四、委外稽核： （一）定期進行查核作業。 （二）辦理作業委外稽核時，於簽訂之合約應載明保留相關之稽核權利， 得自行或委託獨立單位對委外廠商監督及查核之權責行為。 （三）執行委外稽核作業後，應對稽核紀錄之文件進行複審及保存並由需 求單位進行存查。 （四）提供委外稽核服務的廠商須通過政府資通安全建議的相關證照或可 參照「保險業電腦系統資訊安全評估作業原則」之第柒點要求。 各會員公司辦理資訊系統委外作業項目，有涉及核心資訊系統者，除應依 前項各款規定辦理外，應併同遵循「保險業核心資通系統作業委外資安注 意事項」（如附件六）。