葉柏毅 Alex
Contact: alrex5401@gmail.com
Linkedin:https://www.linkedin.com/in/alrex5401/
相信最近很多資安界朋友,應該陸續都遇到被要求,檢視合約中的資安條款或資安要求。
常常各式各樣的採購或專案,都要資安檢視或是二三道防線。
您正在為資安條款煩惱嗎?
小弟不藏私,完整版供您參考。
資訊安全協議範本ISR1
資訊安全協議範本ISR2
資訊安全協議範本ISR3
本 ISR 訂定了針對本公司數據的資訊安全規定,並將構成適用本公司主協議(「本協議」)的一部分,監管由您(「乙方」)根據該協議提供的服務(「服務」)。
履行服務時,乙方應遵守本 ISR 的所有規定;另外,針對所有乙方的僱員、經紀人、代表、分包商、分支機構、法律顧問、獨立會計師,以及可獲乙方授權存取、揭露、或依本協議允許自行收集本公司數據的其他各方當事人,乙方亦應促使上述人士遵守ISR 的所有規定。
由本公司與其分支機構,或其任何供應商和客戶所擁有,或由第三者(包括乙方自己)授權存取的數據或資訊;根據談判及/或本協議的內容,抑或本協議列明的義務,乙方有權存取以上資訊(無論在本合約生效之前或之後),包括個人身份資訊,以至下列所有數據和資訊:
i.本公司與其分支機構,或其任何供應商和客戶的業務、客戶、要保人、索賠人、行銷夥伴、員工、運營機構、設施、產品、費率、法規遵循、競爭對手、消費者市場、資產、支出、合併、收購、資產分割、帳單、收款、收入和財務。
ii.乙方履行本協議列明的義務時所建立、產生、收集或處理的資訊,包括處理數據輸入輸出、服務水平測量、資產資訊、報告、第三者服務與產品協議和合同費用。
任何上述項目的衍生工具。
指符合下列條件的行為:
指所有適用於本公司或乙方之國際、聯邦、州、省、區域、地區和地方法律、法規、條例、規定、規則、行政命令、監督要求、指示、通知、意見、函釋,以及其他由任何政府、有權單位、部門或機構,包括根據隱私保護法發出的官方文件。
指任何包含一個或多個唯一識別碼的本公司數據,並可從中確認或存取該人身份:例如其全名、國家註冊號碼、社會保險或社會保障號碼、護照號碼、駕駛執照、其他由政府頒發的身份證明號碼、信用卡、金融卡、財務帳戶資訊、出生日期、親屬姓名、醫療資訊、健康保險資訊、生物特徵記錄、數位簽名文件、帳戶登錄資訊(如可用作登入帳戶的用戶名、電郵和密碼組合),以及受隱私保護法保護的任何其他資訊。
指任何適用於本公司或乙方之國際、聯邦、州、省或其他當地法律、法規或規則,涉及數據隱私、資訊安全、個人身份資訊、盜用身份、數據洩漏通知、跨境數據流通或數據保護,如個人資料保護法、General Data Protection Regulation。
指任何團體或獨立第三者,包括但不限於任何分包商、離岸服務提供商、代理商、外包商等,而可處理、儲存或存取任何本公司數據,或以本公司名義收集數據 (須獲本公司事先書面批准)。
乙方承諾並同意:
根據本公司自行判斷,如果提供商的實體和數據安全控制並不足以保護本公司數據,本公司可以 執行下列權益:
乙方應開發並維護可重建遺失本公司數據的程序,亦應修正任何由乙方或其下包商造成的本公司數據錯誤、毀壞、遺失或變更,而本公司無須繳付任何費用。
乙方於履行義務和行使本協議列明的權利時,應遵守隱私保護法所有內容。
乙方應和本公司合作,就提供或接收服務相關事項,依照主管機關要求申報、揭露或註冊任何資訊。
如乙方或其下包商會代表本公司處理與本協議有關的 PII,提供商應確保下包商者,遵行下列事宜:
(一) 僅遵從並按照本公司的指示處理此類 PII,如非為了提供服務,則不應處理此類 PII。
(二) 應提供適當之行政、技術和實體保護措施,保護 PII 不被意外或非法破壞、意外遺失、變更,或於未經授權的情況下經揭露或存取(特別但不限於牽涉數據傳輸),以及所有其他非法或未經授權的處理方式。
(三) 應視 PII 為機密資料,未經本公司事先書面同意,不得向任何人披露。
(四) 針對需存取有關資料方可提供服務的乙方或下包商員工,亦應限制其訪問權。
(五) 如發現任何未經授權存取或非法處理 PII 的情況,應及早通知本公司。
(六) 當無須利用本公司數據提供服務、或已無必要保留有關資料時,應即時且以其他方式安全刪除本公司數據以確保資訊無法重現並提供已完成刪除之佐證或聲明書予本公司,抑或按本公司指示把本公司數據還給本公司。
(七) 任何行為均不得使本公司違反隱私保護法。
在本協議期間,並由乙方管理或控制本公司數據的任何時候,乙方應建立並維護完整書面數據安全程式,包括行政,技術和實體政策、程序和保護措施,以保護本公司數據。
乙方的數據安全程序應滿足下列要求:
(一) 可確保本公司數據安全、完整、可用和保持機密。
(二) 預防任何可威脅或危害本公司數據安全或完整性的情況。
(三) 保護本公司數據免遭破壞、遺失、變更,或於未經授權的情況下被存取。
(四) 乙方的政策和程序應:
1. 不比乙方保存性質類似的自身資訊時寬鬆。
2. 不比本協議適用服務地區的行業標準最佳做法寬鬆。
3. 應滿足法律要求。只要事前有合理書面通知,本公司便有權進行審核(且無須額外繳費),包括現場檢查,乙方的數據安全程式與控制程序。
4. 乙方應配合本公司透過問卷、電子郵件、電話、及/或線上會議(包括取得乙方的政策、流程或其他相關書面,且得為便利審查必要時合理接觸乙方的員工)以執行安全控管審查。
5. 在審查期間,乙方應將第三方獨立為其準備(且與依本協議書提供予本公司 之產品及/或服務相關)的外部查核報告(如 SOC 2 Type II 報告或ISO 27001證明書)的副本提供予本公司。
6. 倘若本公司在其合理裁量下,發現乙方的安全控管有任何問題或缺失,乙方應在完成審查後的三十日內向本公司提出補救計劃,且應及時依據雙方所合意的補救計劃時程改正各該問題。
(五) 如乙方需進入本公司系統方可提供服務,除經本公司事先書面同意下,不得從此類系統中複製或提取任何數據。
(六) 作為服務的一部分,乙方應委由獨立第三者至少每年舉行一次脆弱性和威脅評估,發現任何威脅及/或漏洞,或可危及任何本公司數據安全性、機密性、可用性或完整性;並監管,測試和更新其數據安全程式,確保程式可有效運作,並符合本協議規定。
(七) 乙方應編寫並維護安全事件回報程序,並應能顧及可能危害本公司數據保密性、完整性和可用性的威脅,並定期進行事故準備預習。如乙方發現或經知會任何意外,故意,或疑似違反本公司數據安全的情況,抑或任何非法或未經授權使用或揭露本公司數據的情形,便應採取下列措施:
1. 應於發現違反或疑似違反本公司數據安全情況的24小時內,通知本公司資訊安全單位。
2. 立即保護受影響系統,防止進一步或持續違規情況。
3. 立即調查該違反或疑似違反安全規定個案,彌補任何對本公司數據造成的影響,分析根本原因,並按本公司要求提供相關分析執行摘要。
(八) 乙方應清楚隱私保護法含有違規通知義務,要求 PII 所有者和有權持有人,知會任何未經授權接觸或使用此類資訊的情況。
(九) 如乙方發現任何可能違背法律義務的情況,便應馬上書面通知本公司,並與本公司充分合作,令本公司能夠履行相關的法律義務。
(十) 如有必要,乙方應與本公司合作編寫與發佈此類通知;本公司將保留核准任何此類通知內容的最終權利(受制於適用法律)。
(十一) 乙方應承擔與涉及本公司數據之違規情況有關的所有費用,但違規行為是由本公司違反本 ISR 列明的本公司明確義務行為直接造成者不在此限。
(十二) 乙方應提供任何和一切協助、合作和支持,以滿足合理要求調查任何安全事件、違規情況、故意欺詐或其他災難。
乙方應根據資訊安全最佳做法提供所有服務。即使本協議載有任何相反規定,乙方同意至少實施並維護以下安全監控:
乙方應向使用或接觸本公司數據的所有員工和下包商提供(或旨在提供)資訊安全意識培訓。培訓目的為教導他們保持敏感個人和企業資訊的保密性、完整性和可用性,亦應至少每年舉辦一次。乙方的安全管理員須為所有乙方和下包商的員工,獲授權使用或進入包含本公司數據的系統承擔全部責任;並為乙方建立能安全並及時建立和刪除特定管理帳戶的程序。乙方應執行義務分離、需要知情和最低特權的安全接觸原則。
乙方取得接觸本公司數據前,應在下包商得接觸本公司資訊前,就本 ISR 提及任何有關數據隱私和安全相關規定,要求訂立書面合約。本公司有權事先審查和核准任何下包商。如下包冏的任何作為或不作為違反本 ISR,即等同乙方違約,乙方應負擔一切責任。乙方應就執行任何服務時採用的下包商負上全部責任。
乙方:
OOOO會計師事務所
(請廠商蓋印大小章)
本公司:
xxxxx股份有限公司
(公司大小章)