各機關依本法第九條規定委外辦理資通系統之建置、維運或資通服務之提供(以下簡稱受託業務),選任及監督受託者時,應注意下列事項:
一、受託者辦理受託業務之相關程序及環境,應具備完善之資通安全管理措施或通過第三方驗證。
二、受託者應配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員。
三、受託者辦理受託業務得否複委託、得複委託之範圍與對象,及複委託之受託者應具備之資通安全維護措施。
四、受託業務涉及國家機密者,執行受託業務之相關人員應接受適任性查核,並依國家機密保護法之規定,管制其出境。
五、受託業務包括客製化資通系統開發者,受託者應提供該資通系統之安全性檢測證明;該資通系統屬委託機關之核心資通系統,或委託金額達新臺幣一千萬元以上者,委託機關應自行或另行委託第三方進行安全性檢測;涉及利用非受託者自行開發之系統或資源者,並應標示非自行開發之內容與其來源及提供授權證明。
六、受託者執行受託業務,違反資通安全相關法令或知悉資通安全事件時,應立即通知委託機關及採行之補救措施。
七、委託關係終止或解除時,應確認受託者返還、移交、刪除或銷毀履行契約而持有之資料。
八、受託者應採取之其他資通安全相關維護措施。
九、委託機關應定期或於知悉受託者發生可能影響受託業務之資通安全事件時,以稽核或其他適當方式確認受託業務之執行情形。
委託機關辦理前項第四款之適任性查核,應考量受託業務所涉及國家機密之機密等級及內容,就執行該業務之受託者所屬人員及可能接觸該國家機密之其他人員,於必要範圍內查核有無下列事項:
一、曾犯洩密罪,或於動員戡亂時期終止後,犯內亂罪、外患罪,經判刑確定,或通緝有案尚未結案。
二、曾任公務員,因違反相關安全保密規定受懲戒或記過以上行政懲處。
三、曾受到外國政府、大陸地區、香港或澳門政府之利誘、脅迫,從事不利國家安全或重大利益情事。
四、其他與國家機密保護相關之具體項目。
第一項第四款情形,應記載於招標公告、招標文件及契約;於辦理適任性查核前,並應經當事人書面同意。