第十八點 金融 FIDO 作業環境之委外管理應符合下列要求： 一、委外處理前應先對受託廠商進行適當之安全評估，並依據 最小權限及資訊最小揭露原則進行安全管控設計。 二、委託契約或相關文件中，應明確約定下列內容： （一）受託廠商應遵守本指引及其他適當資訊安全國際標準要 求，確保委託人資料之安全。 （二）對受託廠商應依本指引內容進行適當監督。 （三）當委外業務安全遭到破壞時，受託廠商應主動、即時通 知委託人。 （四）交付之系統或程式應確保無惡意程式及後門程式，其放 置於網際網路之程式應通過程式碼掃描或黑箱測試。 三、應對委外廠商進行資訊安全稽核；亦可由委外廠商提交經 第三方出具資訊安全稽核報告。