# About Me 葉柏毅 Alex Contact: alrex5401@gmail.com Linkedin：https://www.linkedin.com/in/alrex5401/ 相信最近很多資安界朋友，應該陸續都遇到被要求，檢視合約中的資安條款或資安要求。 常常各式各樣的採購或專案，都要資安檢視或是二三道防線。 您正在為資安條款煩惱嗎？ 小弟不藏私，完整版供您參考。 [資訊安全協議範本ISR1](https://hackmd.io/@alrex5401/ISR) [資訊安全協議範本ISR2](https://hackmd.io/@alrex5401/ISR2) [資訊安全協議範本ISR3](https://hackmd.io/@alrex5401/ISR3) # 資訊安全要求 (Information security requirement, ISR)                                                                  (以下簡稱甲方) 立合約書人：                                                                  (以下簡稱乙方) ## 一、 基本條款 (一) 乙方所指派人員應配合甲方門禁及安全管制措施，乙方因本專案而知悉或取得甲方或甲方客戶之一切資料，均視為甲方營業秘密，乙方及乙方所屬人員應負永久保密義務，絕不得對任何第三人洩露，否則經雙方認定為乙方所應負責任，則乙方及其所屬人員應負連帶損害賠償責任。本條款於專案終止或期滿後仍有絕對效力。 (二) 乙方不得以甲方人員自居，且未經甲方書面同意前，不得以甲方或甲方代理人之名義執行本合約或辦理受託處理事項，包括但不限於刊登廣告或印刷物品製作、電話問候、寄發信件或洽談、懸掛易讓人誤認係甲方之招牌或其他易使人誤認係甲方分支機構之行為或從事其他有損甲方形象或權益之行為。甲方如有發現乙方人員於執行本業務時有任何違反本合約協議或不法之行為者，得以書面通知乙方處理。 (三) 乙方處理受委任事務時，不得違反法令強制或禁止規定、公共秩序及善良風俗，並應遵循保險法、洗錢防制法、個人資料保護法、消費者保護法、金融消費者保護法、保險業作業委託他人處理應注意事項、人身保險業委託其他機構代收保險費、保險單借款本息或保險契約其他相關款項自律規範及相關法令之規定。 (四) 乙方應以善良管理人之注意義務及誠信原則履行受委任之事務。不得使用任何不正當、不法之手段，亦不得為任何直接或間接有損害甲方名譽或為對甲方或甲方之客戶不利之行為，除經甲方書面同意者外，乙方不得承諾甲方之客戶任何事項，包括但不限於簽具任何文件或收受不正當利益。 (五) 乙方應就處理受任事務依甲方督導訂定標準作業程序，執行內部控制、內部稽核制度及消費者權益保障、資料保密及安全措施與風險控管，並同意甲方日後進行必要之檢查。倘前述標準作業程序及其執行等作業經甲方建議有修訂或改善之需要，乙方應依甲方之建議進行變更。 (六) 倘應主管機關之要求，乙方同意就處理受任事務範圍內配合提出相關資料或報告，及配合進行金融檢查，或依主管機關之命令於限期內提供相關資料或報告。 (七) 倘因乙方破產、解散、重整(不論該主管機關是否核准)、停止營業、被金融機構列為拒絕往來戶或政府相關法令規章之限制變更而無法履行本合約(包括主管機關命其終止或解約)時，乙方應立即通知甲方，於甲方收受乙方通知或主管機關命令時，本合約即時無條件自動終止。 (八) 對本工作乙方不得重製、販賣及為其他一切違法侵害甲方權益之行為。 ## 二、 涉及消費者權益或其個人資料條款 (一) 因乙方處理本受託事務而與甲方之客戶發生糾紛時，應負責處理向甲方之客戶解釋，同時於獲知客戶申訴後3日內通知甲方所指定之處理人員，並應盡力圓滿協助解決糾紛，若因非可歸責於甲方之事由造成甲方受有損失者，乙方應負損害賠償之責。 (二) 受託業務如有涉及甲方消費者權益保障、風險管理及內部控制作業，乙方應就受託業務建置消費者爭端解決機制（包括解決時程、設置申訴協調處理單位受理消費者之申訴與解決程序及補救措施），並應接受甲方之監督。 (三) 乙方受託業務如有涉及甲方消費者契約資訊者，應依個人資料保護法相關規定辦理，並負有以書面或其他適當方式告知上述消費者之義務。嗣後若主管機關就告知消費者之方式另有規定時，乙方應依該規定辦理。 (四) 乙方應同意必要時得由甲方所指定之人，對受託事項進行查核。 ## 三、 資訊系統委外條款 (一) 乙方履行合約或協議時所提供軟體或交付標的物為交付產品，需具備合法性，且不得違反智慧財產權之規定或侵害第三人合法權益，並須確認軟體含元件之使用版權及安全性。 (二) 乙方同意如提供本合約下服務過程中涉及甲方客戶、員工或他人個人資料時，乙方應採行適當之安全維護必要措施，包含但不限於下列措施： 1. 配置管理之人員及相當資源。 2. 界定個人資料之範圍。 3. 個人資料之風險評估及管理機制。 4. 事故之預防、通報及應變機制。 5. 個人資料蒐集、處理及利用之內部管理程序。 6. 資料安全管理及人員管理。 7. 認知宣導及教育訓練。 8. 設備安全管理。 9. 資料安全稽核機制。 10. 使用紀錄、軌跡資料及證據之保存。 11. 個人資料安全維護之整體持續改善 (三) 乙方應至少每季進行一次作業系統之弱點掃描、程式碼掃描或黑箱測試，並針對其掃描或測試結果進行風險評估，於保險業辦理資訊安全防護自律規範所定時限內修補完成或完成補償性控制措施，評估為中、低風險應訂定適當措施及完成時間，執行矯正、紀錄處理情形並追蹤改善。 (四) 乙方履行合約或協議時所提供軟體、系統、程式或交付標的物，，應確保無惡意程式及後門程式，並提供相關掃描報告，倘有被通報或偵測出資安弱點，乙方應配合甲方時程進行弱點修補。 (五) 倘發生資安事件，乙方應於甲方通知後4小時內至甲方維護標的現場協助事件處理與調查；事件若係由乙方故意或過失所致者，數位鑑識、事件分析與處理之費用應由乙方負擔，以不超過本專案百分之二十為上限。 (六) 資訊系統作業委外終止或結束時，乙方應提供移轉服務，將留存資料移回至甲方自行處理，並應刪除或銷毀全數資料，且提供刪除或銷毀之佐證資訊與紀錄予甲方。 (七) 乙方應配合甲方之資訊安全事件之通報流程及處理程序，並就發生符合任一方所訂之資訊安全事件，向甲方進行通報及處理。 (八) 乙方提供之優規產品或服務，仍需確認可能產生之資安風險。 (九) 乙方及其人員（包含但不限於受僱人、代理人、使用人及履行輔助人，以下同）不得於合約標的、甲方硬體或軟體(或甲方之設備)安設任何後門、惡意攻擊或病毒程式或其他未經授權之軟體，且除經甲方書面同意外，乙方及其人員亦不得安裝任何含有遠端遙控功能之程式/軟體。如有違反，乙方應給付甲方依本合約總價款百分之OO計算之懲罰性違約金，甲方並得終止或解除本合約。如造成甲方損害，乙方應負全部賠償責任。 (十) 乙方及其人員履行本合約，如有不法侵入、擷取或竄改甲方程式、資料等情事，乙方應給付甲方依本合約總價款百分之OO計算之懲罰性違約金，甲方並得終止或解除本合約。如因此致甲方或甲方關係企業、客戶、員工遭受第三人請求或其他損害時，乙方應與該行為人對甲方或甲方關係企業、客戶、員工負連帶賠償責任。