About Me

葉柏毅 Alex
Contact: alrex5401@gmail.com
Linkedin：https://www.linkedin.com/in/alrex5401/

相信最近很多資安界朋友，應該陸續都遇到被要求，檢視合約中的資安條款或資安要求。
常常各式各樣的採購或專案，都要資安檢視或是二三道防線。
您正在為資安條款煩惱嗎？

小弟不藏私，完整版供您參考。

資訊安全要求 (Information security requirement, ISR)

一、目的

本 ISR 訂定了針對本公司數據的資訊安全規定，並將構成適用本公司主協議（「本協議」）的一部分，監管由您（「乙方」）根據該協議提供的服務（「服務」）。

履行服務時，乙方應遵守本 ISR 的所有規定；另外，針對所有乙方的僱員、經紀人、代表、分包商、分支機構、法律顧問、獨立會計師，以及可獲乙方授權存取、揭露、或依本協議允許自行收集本公司數據的其他各方當事人，乙方亦應促使上述人士遵守ISR 的所有規定。

二、名詞定義

(一) 本公司數據：

由本公司與其分支機構，或其任何供應商和客戶所擁有，或由第三者(包括乙方自己)授權存取的數據或資訊；根據談判及/或本協議的內容，抑或本協議列明的義務，乙方有權存取以上資訊(無論在本合約生效之前或之後)，包括個人身份資訊，以至下列所有數據和資訊：

i.本公司與其分支機構，或其任何供應商和客戶的業務、客戶、要保人、索賠人、行銷夥伴、員工、運營機構、設施、產品、費率、法規遵循、競爭對手、消費者市場、資產、支出、合併、收購、資產分割、帳單、收款、收入和財務。

ii.乙方履行本協議列明的義務時所建立、產生、收集或處理的資訊，包括處理數據輸入輸出、服務水平測量、資產資訊、報告、第三者服務與產品協議和合同費用。
任何上述項目的衍生工具。

(二) 違約：

未經授權下使用、遺失、揭露或存取本公司數據。
未能按照資訊安全最佳做法提供服務。

(三) 資訊安全最佳做法：

指符合下列條件的行為：

隱私與資訊安全最佳做法，與 NIST 網絡安全框架（如 ISO 27001、ISO 27701）列明的適用參考資訊一致。
本ISR 或協議所訂定的安全規定、標準、義務、規格和事件報告程序。
任何法律要求的其他適用規定、標準、義務、規格及/或事件報告程序。

(四) 法律：

指所有適用於本公司或乙方之國際、聯邦、州、省、區域、地區和地方法律、法規、條例、規定、規則、行政命令、監督要求、指示、通知、意見、函釋，以及其他由任何政府、有權單位、部門或機構，包括根據隱私保護法發出的官方文件。

(五) 個人身份資訊 (PII)：

指任何包含一個或多個唯一識別碼的本公司數據，並可從中確認或存取該人身份：例如其全名、國家註冊號碼、社會保險或社會保障號碼、護照號碼、駕駛執照、其他由政府頒發的身份證明號碼、信用卡、金融卡、財務帳戶資訊、出生日期、親屬姓名、醫療資訊、健康保險資訊、生物特徵記錄、數位簽名文件、帳戶登錄資訊（如可用作登入帳戶的用戶名、電郵和密碼組合），以及受隱私保護法保護的任何其他資訊。

(六) 隱私保護法

指任何適用於本公司或乙方之國際、聯邦、州、省或其他當地法律、法規或規則，涉及數據隱私、資訊安全、個人身份資訊、盜用身份、數據洩漏通知、跨境數據流通或數據保護，如個人資料保護法、General Data Protection Regulation。

(七) 下包商：

指任何團體或獨立第三者，包括但不限於任何分包商、離岸服務提供商、代理商、外包商等，而可處理、儲存或存取任何本公司數據，或以本公司名義收集數據（須獲本公司事先書面批准）。

三、數據保護

(一) 數據限制

乙方承諾並同意：

未經本公司事先書面許可，不得向任何第三者出售、轉讓、授權存取或行銷本公司數據。
不會為了私人目的，或向本公司以外任何人員或團體的利益而使用本公司數據，並只會在履行義務提供服務的情況下，使用和披露這些數據。

(二) 終止

根據本公司自行判斷，如果提供商的實體和數據安全控制並不足以保護本公司數據，本公司可以執行下列權益：

在通知乙方後，終止（提供商亦應馬上終止）乙方和其下包商任何/所有服務，
於10個工作天內，終止與乙方訂立的適用協議或其他協議書，並發出書面通知，且無須就終止協議承擔任何責任。

四、修正與重建

乙方應開發並維護可重建遺失本公司數據的程序，亦應修正任何由乙方或其下包商造成的本公司數據錯誤、毀壞、遺失或變更，而本公司無須繳付任何費用。

五、數據處理

乙方於履行義務和行使本協議列明的權利時，應遵守隱私保護法所有內容。
乙方應和本公司合作，就提供或接收服務相關事項，依照主管機關要求申報、揭露或註冊任何資訊。
如乙方或其下包商會代表本公司處理與本協議有關的 PII，提供商應確保下包商者，遵行下列事宜：

     (一) 僅遵從並按照本公司的指示處理此類 PII，如非為了提供服務，則不應處理此類 PII。
     (二) 應提供適當之行政、技術和實體保護措施，保護 PII 不被意外或非法破壞、意外遺失、變更，或於未經授權的情況下經揭露或存取（特別但不限於牽涉數據傳輸），以及所有其他非法或未經授權的處理方式。
     (三) 應視 PII 為機密資料，未經本公司事先書面同意，不得向任何人披露。
     (四) 針對需存取有關資料方可提供服務的乙方或下包商員工，亦應限制其訪問權。
     (五) 如發現任何未經授權存取或非法處理 PII 的情況，應及早通知本公司。
     (六) 當無須利用本公司數據提供服務、或已無必要保留有關資料時，應即時且以其他方式安全刪除本公司數據以確保資訊無法重現並提供已完成刪除之佐證或聲明書予本公司，抑或按本公司指示把本公司數據還給本公司。
     (七) 任何行為均不得使本公司違反隱私保護法。

六、數據保護程序

在本協議期間，並由乙方管理或控制本公司數據的任何時候，乙方應建立並維護完整書面數據安全程式，包括行政，技術和實體政策、程序和保護措施，以保護本公司數據。

乙方的數據安全程序應滿足下列要求：

     (一) 可確保本公司數據安全、完整、可用和保持機密。
     (二) 預防任何可威脅或危害本公司數據安全或完整性的情況。
     (三) 保護本公司數據免遭破壞、遺失、變更，或於未經授權的情況下被存取。
     (四) 乙方的政策和程序應：

          1. 不比乙方保存性質類似的自身資訊時寬鬆。
          2. 不比本協議適用服務地區的行業標準最佳做法寬鬆。
          3. 應滿足法律要求。只要事前有合理書面通知，本公司便有權進行審核（且無須額外繳費），包括現場檢查，乙方的數據安全程式與控制程序。
          4. 乙方應配合本公司透過問卷、電子郵件、電話、及/或線上會議(包括取得乙方的政策、流程或其他相關書面，且得為便利審查必要時合理接觸乙方的員工)以執行安全控管審查。
          5. 在審查期間，乙方應將第三方獨立為其準備(且與依本協議書提供予本公司之產品及/或服務相關)的外部查核報告(如 SOC 2 Type II 報告或ISO 27001證明書)的副本提供予本公司。
          6. 倘若本公司在其合理裁量下，發現乙方的安全控管有任何問題或缺失，乙方應在完成審查後的三十日內向本公司提出補救計劃，且應及時依據雙方所合意的補救計劃時程改正各該問題。

     (五) 如乙方需進入本公司系統方可提供服務，除經本公司事先書面同意下，不得從此類系統中複製或提取任何數據。
     (六) 作為服務的一部分，乙方應委由獨立第三者至少每年舉行一次脆弱性和威脅評估，發現任何威脅及/或漏洞，或可危及任何本公司數據安全性、機密性、可用性或完整性；並監管，測試和更新其數據安全程式，確保程式可有效運作，並符合本協議規定。
     (七) 乙方應編寫並維護安全事件回報程序，並應能顧及可能危害本公司數據保密性、完整性和可用性的威脅，並定期進行事故準備預習。如乙方發現或經知會任何意外，故意，或疑似違反本公司數據安全的情況，抑或任何非法或未經授權使用或揭露本公司數據的情形，便應採取下列措施：
          1. 應於發現違反或疑似違反本公司數據安全情況的24小時內，通知本公司資訊安全單位。
          2. 立即保護受影響系統，防止進一步或持續違規情況。
          3. 立即調查該違反或疑似違反安全規定個案，彌補任何對本公司數據造成的影響，分析根本原因，並按本公司要求提供相關分析執行摘要。

     (八) 乙方應清楚隱私保護法含有違規通知義務，要求 PII 所有者和有權持有人，知會任何未經授權接觸或使用此類資訊的情況。
     (九) 如乙方發現任何可能違背法律義務的情況，便應馬上書面通知本公司，並與本公司充分合作，令本公司能夠履行相關的法律義務。
     (十) 如有必要，乙方應與本公司合作編寫與發佈此類通知；本公司將保留核准任何此類通知內容的最終權利（受制於適用法律）。
     (十一) 乙方應承擔與涉及本公司數據之違規情況有關的所有費用，但違規行為是由本公司違反本 ISR 列明的本公司明確義務行為直接造成者不在此限。
     (十二) 乙方應提供任何和一切協助、合作和支持，以滿足合理要求調查任何安全事件、違規情況、故意欺詐或其他災難。

七、安全實踐措施

乙方應根據資訊安全最佳做法提供所有服務。即使本協議載有任何相反規定，乙方同意至少實施並維護以下安全監控：

(一) 隔離

就所有網際網路連接，以及任何 DMZ 和內部網路之間的連接建立防火牆
在技術上可行的情況下，向乙方的任何其他客戶以邏輯或物理方式隔離所有本公司數據，並防止提供服務的乙方員工或下包商，可在任何共享環境中存取數據。
以邏輯或物理方式隔離生產環境與非生產環境（如開發、測試、質量保證）

(二) 預設參數

連接供應商提供的設備到網絡前，請酌情更改預設密碼和配置
僅啟用特定系統功能所需，且屬必要且安全的服務和協議
更新並維護系統配置，方式應與行業慣例和乙方系統強化標準一致

(三) 儲存數據

維護並遵循安全刪除流程，刪除不再需要的電子和印刷媒體
使用加密系統（如 bcrypt）散列或加密儲存密碼，符合資訊安全最佳做法
如無事先清洗或屏蔽，嚴禁把 PII 儲存在非生產環境中

(四) 解密

使用強大的加密和安全協議，在公開網路傳輸過程中保護本公司數據和密碼，並在可拆卸媒體（如備份磁帶、筆記本電腦、行動硬碟、隨身碟等）上進行儲存。
確保企業無線網路須採符合行業標準，採用強大的加密認證和傳輸系統
使用控制，包括加密程式，確保本公司數據於乙方擁有或控制的情況下安然無恙。在乙方確定此類加密不可行的情況下，應採用其他有效替代控制措施；但須率先通過乙方之資訊安全最高主管批准，並最少每年審核一次。

(五) 漏洞管理

在所有容易受惡意軟體（特別是個人電腦和伺服器）影響的系統上，安裝並維護防病毒或惡意軟體之程式
確保所有防病毒或惡意軟體機制（如病毒簽名）不中斷，並維護審核日誌至少90 天
在發布一個月內安裝重要安全修補程序
根據安全編碼指南開發應用程式，預防軟體開發中常見的編碼漏洞（如 OWASP 所列清單）
通過手動或自動化漏洞安全評估工具等方法，審查網路和公開網路應用程式，頻率建議至少為一年4次，或於進行變更後審查；並在發現高風險或重大風險漏洞的30天內修復所有問題

(六) 數據存取控制

僅限於由乙方維護的特權用戶，方得接觸本公司數據，且只能獲取工作職責所需的權限。
採用多重身份驗證（如密碼、智能卡或生物特徵），才可經外部網路遠端進入乙方內部網絡
立即撤銷終止用戶的登錄權限
至少每半年審查用戶存取乙方系統權限一次，以確保合理接觸及使用
如任何乙方用戶能夠進入已終止的本公司系統，或不再由需要之本公司系統的業務支援，請馬上通知本公司
切勿使用群組，共享或通用帳戶和密碼
限制密碼長度為最小8個字元，並由下列 4項中至少(3項組成：大寫字母、小寫字母、特殊字體和數字
須在最多6次嘗試登入失敗後鎖定用戶帳號，並需要求管理員解鎖帳號或等候30分鐘
使用者帳戶密碼應至少 90 日內到期更換且不得重覆使用同一使用者帳戶過去用過的12個密碼。

(七) 監測

應考量安裝自動化審計追踪，以重演事件，方便檢測或回報安全事件。
設置系統時間，確保其準確無誤，於不同系統上皆一致，並採用業界認可的時間來源。
加密審核日誌，確保相關檔案無法修改；保留日誌數據一年
使用入侵檢測系統及/或入侵防禦系統，監控網路周邊所有流量

(八) 物理和環境控制

實施並維護物理存取控制，包括僅限授權人員進入設施，僅限工作職責所需人士登入敏感區域（如數據中心），並設立適當訪客護送協議
員工在儲存、接觸及處理本公司數據的設備出入口應設置 CCTV或監視錄影器。此外，保存本公司數據的電腦主機所在的資料庫房內外亦應設置監視錄影器且CCTV錄影器的紀錄，應保留90天。
實施並維護環境控制，包括適當的火災偵測和抑制、冗餘電源、電池備份、水檢測、HVAC 和濕度控制系統
實施並維護垃圾處理方案，方便安全處置敏感垃圾；敏感垃圾指包含或可能公開本公司數據的任何廢棄資料。

八、一般規定

(一) 安全管理

乙方應向使用或接觸本公司數據的所有員工和下包商提供（或旨在提供）資訊安全意識培訓。培訓目的為教導他們保持敏感個人和企業資訊的保密性、完整性和可用性，亦應至少每年舉辦一次。乙方的安全管理員須為所有乙方和下包商的員工，獲授權使用或進入包含本公司數據的系統承擔全部責任；並為乙方建立能安全並及時建立和刪除特定管理帳戶的程序。乙方應執行義務分離、需要知情和最低特權的安全接觸原則。

(二) 下包商

乙方取得接觸本公司數據前，應在下包商得接觸本公司資訊前，就本 ISR 提及任何有關數據隱私和安全相關規定，要求訂立書面合約。本公司有權事先審查和核准任何下包商。如下包冏的任何作為或不作為違反本 ISR，即等同乙方違約，乙方應負擔一切責任。乙方應就執行任何服務時採用的下包商負上全部責任。

立約人

乙方：
OOOO會計師事務所

(請廠商蓋印大小章)

本公司：
xxxxx股份有限公司

(公司大小章)

About Me

資訊安全要求 (Information security requirement, ISR)

一、 目的

二、 名詞定義