2-3 供應鏈與合約管理
- 2025年8月12日
- 讀畢需時 3 分鐘
已更新:2025年11月9日
除了內部的資安管理與實踐,供應商與合作夥伴也是組織資安政策關注的範圍,如同蓋房子時不僅自己要仔細規劃藍圖、選擇適合的結構設計、建材種類,建築公司的建材品質及施工技術也必須監工把關。
供應鏈安全的重要性
現代商業環境中,一定都會有與第三方廠商或其他組織合作的需求,像是使用募款平台、雲端儲存服務或委託設計行銷等外部團隊,如果這些合作夥伴的資安措施不到位,可能會成為組織資安漏洞的來源,例如募款平台的系統漏洞導致捐款人的個人資料外洩、雲端服務提供商的員工因操作疏失將敏感數據公開。
非營利組織不僅需關注內部資安,也需要求合作夥伴落實資安政策,確保每一個工作環節的安全性,共同守護組織的公益使命和形象。
合約中的資安考量
與外部廠商合作時,可以於合約當中提出資安條款,以下提供適用於各類型之合約的「合作通用要求」,並針對「資通訊廠商」和「金流系統廠商」的特定情境提供參考建議。
項目 | 合作通用要求 | 資通訊廠商 | 金流系統廠商 |
明確安全要求 | 合約條款:規定廠商需遵守的安全標準和保密義務。 責任劃分:明確雙方在安全事件發生時的責任和義務。 | 遵守特定安全標準(如 ISO 27001),並定期安全測試。 | 遵守支付安全標準(如 PCI DSS),明確交易安全責任。 |
安全審查與評估 | 資格審查:評估廠商的安全能力、信譽和歷史紀錄。 持續監控:定期審查廠商的安全狀況,必要時進行檢查。 | 提交定期安全報告與接受安全稽核,如網絡安全測試、設備漏洞檢查等,並確保數據傳輸加密及設備存取權限的嚴格管理。 | 定期的安全測試、漏洞掃描,提供第三方審核報告。 確保交易數據加密及存取權限管理符合標準。 |
資料保護與隱私 | 保密協議:簽署資料處理協議或保密協議,遵守相關隱私法規(如個人資料保護法)。 資料管理:規定資料的存儲、加密、存取控制和使用範圍。 | 規定資料存儲地點、加密方式。 | 交易異常、欺詐活動等事件需立即通知組織。 |
應急響應協調 | 事件通知:廠商應在資安事件發生後的規定時間內通知組織。 協同處理:雙方協同制定應急響應計劃,迅速協作處理安全事件。 | 發現安全漏洞或事件後,需即時通知組織。 | 違反安全標準可終止合約,終止後需返還所有資料、並提供安全銷毀其所持有備份資料之證明。 |
終止條款 | 安全違規處理:如果廠商未能符合安全要求,組織有權終止合約。 資料銷毀:合約結束時,廠商需返還所有資料並安全銷毀其所持有的備份資料。 | 未符合安全要求可終止合約,需返還所有資料、並提供安全銷毀其所持有備份資料之證明。 | 風險分擔機制:須有明確的交易風險分擔機制。 |
其他 | 根據廠商特點,加入相關條款(如智慧財產權保護、風險分擔機制、服務品質保證等)。 | 智慧財產權保護:明確軟體、系統的知識產權歸屬。 員工背景調查:對參與項目的廠商員工進行必要的背景調查。 | 法規遵循:廠商需符合金融監管機構的規定。 |
留言