水利法規查詢系統

:::
:::
現在位置: 首頁> 行政規則> 資訊管理類>
  • 友善列印
  • 回上一頁

水利署及所屬機關資訊相關系統開發與維護注意事項  

 

1.中華民國95年12月11日經濟部經水資字第 09512A04406 號函 訂定
2.中華民國98年10月19日經濟部經水資字第 09812A03142 號函修 正
3.中華民國100年6月7日經濟部經水資字第 10012A01381 號函修正全 文 13 點
4.中華民國100年12月15日經水資字第 10012060360 號函修訂
5.中華民國103年1月10日經水資字第 10312000870 號函修訂
6.中華民國104年2月17日經水資字第 10412005760 號函修訂
7.中華民國105年11月16日經濟部水利署經水資字第 105120399 90 號函修正全文 14 點(原名稱:經濟部水利署及所屬機關資訊相關 系統開發注意事項)

一、為水利署(以下簡稱本署)及所屬機關之委託資訊服務採購案及勞務
    委託案件中涉及資訊相關系統開發案,對於本署資訊安全之要求、資
    訊系統之規劃、建置及維運等應辦事宜,特訂定本注意事項供本署承
    辦人及受託廠商遵循辦理。

二、依據資訊系統開發程序之作業內容,本注意事項將依系統評估、契約
    簽訂工作進度審查、需求與系統分析、系統設計、程式開發、網頁製
    作、系統測試、教育訓練、系統驗收、系統上線及系統維護等 12 個
    階段作說明。

三、系統評估
    包含起始作業、計畫書之準備、契約書準備與修正等,並依採購相關
    法規辦理委託資訊服務或委託辦理事宜。
(一)啟始作業:系統開發需求產生時,於起始階段即應對系統加以評估
      ,包含現行作業、資訊安全防護、電子化之可行性或可加強部分、
      軟硬體需求、經費之籌措……等相關事項加以考慮及預備。
(二)計畫書之準備:依本署委託服務計畫書格式研擬,計畫書範本可至
      本署委辦計畫管理系統下載。
(三)契約書準備與修正:依據本署所訂契約書範本,並針對委託資訊服
      務部分予以增修。
(四)開放資料(Open Data) 之研訂及開放:除涉及個人資料、國家機
      密、資訊安全,及其它依據「政府資訊公開法」第 18 條得不公開
      之外,需將下述所涉及的資料內容/項目/集納入資料開放範圍,
      並規劃所能產出之資料項目及開放期程,且納入計畫案或系統建置
      、維護專案工作項內,加以落實開放資料政策:
      1.由所涉及到的業務面擴大盤點相關流程,就可公開的資料予以開
        放。
      2.依民眾或署內外機關要求需開放資料者。
      3.若為已上線之公開民眾使用之系統(包括網站、網頁、Web Ser-
        vices、API、及行動化服務(APP) 等),則需將以下資料納入
        資料開放範圍:
     (1)公開資料瀏覽者
     (2)公開資料下載者
     (3)公開查詢資料者
      4.若為機敏類或個人資料類相關資料,則需予去識別化後,再納入
        資料開放範圍。

四、契約簽訂
    契約書之研擬應特別注意以下事項。
(一)於契約書中增列〈委託資訊服務附加條款〉,此附加條款應附於契
      約條款本文之後,納為契約的一部分。
(二)契約書中應明訂廠商應交付之產品保固及後續維護服務之期間、範
      圍、項目及費用計算標準。
(三)契約書中明訂軟體之原始碼及執行碼之所有權及其他相關之智慧財
      產權之歸屬。
(四)契約書中明訂廠商如有任何違反本規範或相關資訊安全法令之行為
      ,除負損害賠償責任外並應負完全法律責任。
(五)契約書中明訂凡程式中欲使用 GPL(General Public License)等
      授權程式碼時,應事先取得本署(或所屬機關)同意。
(六)契約書中明訂受委託廠商應遵守中華民國有關個人資料保護之相關
      法律,保障保密資料及個人隱私資料之安全性;若因違失造成資料
      外洩(包括委由廠商代為管理之網站資料外洩),廠商除負損害賠
      償責任外並應負完全法律責任。
(七)有關協力或分包廠商之事宜
      1.契約書中應詳列受託廠商其服務或產品之相關廠商(如:協力、
        分包廠商),及說明之間的權責關係;受託廠商應將本規範或相
        關資訊安全法令所要求之遵循事項,告知相關廠商並責成落實。
      2.依據「行政院大陸委員會」98  年 7  月 15 日陸經字第 09800
        14473 號函及「行政院公共工程委員會」92  年 1  月 22 日工
        程企字第 092000032810 號函之規定,禁止在台陸資企業及大陸
        地區廠商為投標廠商或擔任分包廠商。
      3.委外廠商對於協力廠商履約之部分,應負完全責任。

五、工作進度審查
(一)專案計畫執行期間應辦理定期或不定期委辦計畫專案會議,以利監
      督工作進行,並做成會議紀錄,廠商須參與專案會議。
(二)書面進度審查:對於廠商所提交定期(如:月、季)「計畫執行進
      度表」、成果報告(如:期中、期末報告書)進行文件內容查核,
      以確認廠商之工作進度與執行成果確實符合委辦計畫契約要求,於
      專案執行期間,若發現任何問題,應於召開專案會議時提出檢討。
(三)委辦計畫管理審查會議
      依據契約規定召開委辦計畫專案審查會議,廠商應依照契約規定於
      期限前提交期中報告、期末報告等,簡報內容需說明工作執行狀況
      。審查委員及相關與會人員就報告內容查核,以確認廠商之工作進
      度與執行成果確實符合委辦計畫契約書的要求。若發現��何問題或
      建議,廠商需回應處理方式及其辦理情形附於期中或期末報告書中
      。

六、需求與系統分析
(一)本階段產出文件為《需求規格書》【附件 1】。
(二)客戶訪談規劃
      廠商須製作訪談預訂時程表內容包括:訪談目地與議題、時間、地
      點、人員、訪談對象需要提供與配合的事項、訪談進行的方式。
(三)訪談記錄與確認對需求之確認應填寫《系統需求訪談紀錄表》【附
      件 2】,併入需求規格書附件。
(四)需求規格書注意要項如下:
      1.對機密及敏感性的資料,應考量建置獨立的或是專屬的作業環境
        ,不得存放在對外開放的資訊或資料庫系統中。
      2.應對系統未來容量要求預作規劃分析,相關內容如下:
     (1)資料量分析-預估資料年成長量
     (2)使用者分析-主要使用人數、尖峰使用人數、尖峰時段
     (3)網路分析-網路流量
     (4)伺服器分析-CPU、RAM、硬碟容量
     (5)系統相容性分析-作業系統、資料庫、既有應用系統、既有第
          三方套件軟體、既有第三方函式、既有第三方組件、既有介接
          應用程式,既有提供介接應用程式。
     (6)資料相容性分析-既有系統內容資料、既有提供其它應用系統
          介接之資料。
     (7)資訊安全防護分析-預估資訊應用系統之資訊安全防護所需之
          機制、功能、設備及人員。
(五)有關地理資訊應用系統之規劃及建置,應遵循「水利署及所屬機關
      地理資訊應用系統規劃建置作業規範」辦理。
(六)有關地理資訊圖資之建置、取得及更新,應遵循「水利署及所屬機
      關地理資訊圖資管理作業規範」辦理。
(七)經需求分析需建置的資料,有以下情況者,需透過「水利資料整合
      雲(原 WRISP)(http://data.wra.gov.tw)介接並引用之,而不
      得另外建立相關資料庫、資料表、資料檔、或檔案:
      1.已在「水資源資料格式標準」中定義,則需洽資料業管單位或機
        關,以上述機制規劃介接需求。
      2.已在「水資源資料交換標準」中定義(詳 http://twedmgt.wra.
        gov.tw/) 且在「水利資料整合雲(原 WRISP)」供資料介接者
        ,則逕以上述系統資料介接機制規劃介接需求。
(八)系統應依據「資訊系統分級與資安防護基準作業規定」進行系統資
      安等級評估,並依評估結果進行相關資安管控措施;本署並得就相
      關管控措施進行檢核。

七、系統設計
(一)本階段產出文件為《設計規格書》【附件 3】。
(二)資料庫規劃
      1.資料格式標準
        凡涉及流通共享之資料建置,應符合本署所訂「水資源資料格式
        標準」。
      2.資料庫之建立以不重複為原則,在建置前應先至「水利資料整合
        雲(原 WRISP)」(http://data.wra.gov.tw)查詢有無相關資
        料之服務提供,或有否納入「水資源資料交換標準」內,若有相
        關服務提供,則需完成申請程序,待獲得同意後,方可進行資料
        存取;若無相關服務提供,則始可建立資料庫。
      3.資料庫設計要考慮安全性,使現行及歷史資料不易被變動、更改
        、刪除。
      4.資料庫應設計備份方法或機制。
      5.適當規劃歷史檔、更新中資料、應用程式專用等資料庫。
(三)使用者介面
      1.以簡單、好看、容易按為主要設計考量。
      2.在設計畫面與用法上力求一致,使各頁面具有相同版面配置方式
        (含按鈕與標題)。
      3.使用者常用功能,放在明顯且易按之位置。
      4.輸入畫面,以不換頁,在同一頁面為原則。
      5.避免因彈跳視窗(Pop-Up Windows)的不當使用,造成使用者反
        感。
      6.應有完善的防呆措施,一有錯誤能明確告知如何改正(帳號密碼
        錯誤除外)。
      7.應有清楚的線上輔助系統。
      8.網站之使用者或客戶群若以一般民眾為主,則該網站使用者介面
        設計應視需求依政府無障礙規範取得無障礙標章。
      9.如系統涉跨瀏覽器或 OS (作業系統)之需求,可善用政府憑證
        管理中心提供之 WebSocket API  元件。
(四)身分驗證及權限控管
      1.各應用系統需利用「水利資料整合雲」所提供單一簽入功能進行
        使用者身分驗證及授權;若為署內及所屬機關同仁使用,則使用
        「水利資料整合雲」的「AD  登入」單一簽入進行;其他人員則
        採用「水利資料整合雲」的「E 政府登入」,並以內政部核發之
        自然人憑證為載具進行或我的 E  政府(http://www.gov.tw) 
        之登入帳號及密碼進行。
      2.需遵循「水利資料整合雲」中央權限控管機制,統一控管使用者
        取用資訊系統的權限角色,然各角色細部功能與取用權限則由各
        業務系統另行於本地端定義。
(五)資料共享與交換資料共享與交換機制需透過「水利資料整合雲」進
      行。
(六)機密性或高敏感性的資料安全管制設計措施
      1.對具有機密性或高敏感性及涉個人隱私等資料,需在傳輸中使用
        加密技術,亦應在儲存中予以加密。
      2.有關對稱式加密演算法應使用 Triple-DES(168  位元長度金鑰
        ),或 AES(128 位元以上長度金鑰)。
      3.有關非對稱加密演算法應使用 RSA(2048  位元以上長度金鑰)
        ,或 ECC(160 位元以上長度金鑰)。
      4.有關雜湊演算法應使用 SHA-2  以上的演算法(SHA-224,SHA-25
        6,SHA-384,SHA-512,SHA-512/224,SHA-512/256) 。
      5.連線加密傳送不得使用 SSL 2.0  及 SSL 3.0,而需使用至少 T
        LS 1.0  以上協定。
(七)稽核控管對應用系統的重要資料及個人資料,其之呈現、利用、交
      換、儲存等活動,應有適當的控制措施和稽核追蹤或活動日誌,以
      防止資料遺失、被修改或濫用。
(八)系統設計階段,應依據資安等級評估結果參卓「資訊系統分級與資
      安防護基準作業規定」進行相關資安管控。

八、程式開發
(一)程式開發應遵守下列事項:
      1.程式結構
     (1)程式撰寫時須保持整個專案程式風格一致性。
     (2)程式碼應以易懂為原則。
     (3)程式應儘量結構化。
      2.命名規則
     (1)名稱必須簡單易懂。
     (2)名稱以英文字母數字為準。
      3.檔案管理
     (1)一個專案以統一放置在一個目錄樹下為原則,勿分散於多個目
          錄樹及硬碟分割區。
     (2)必須將具相同特殊權限檔案,集中於同一目錄下,以方便權限
          設定(例如網頁僅供特殊 IP 存取者)。
     (3)凡程式所產生之暫存檔,必須集中於固定目錄下,且有容量大
          小限制及完善自動刪除機制,不可放任不管。
     (4)凡應用程式產生之日誌檔(Log) 須有定期備份及清除機制。
     (5)與專案無關檔案必須刪除。
      4.資料驗證
     (1)為確保資料檔案之安全性及正確性,應就「資料輸入」、「資
          料傳輸」訂定檢查驗證功能。
     (2)資料檢查如放在使用者端,當資料傳回到伺服主機端時,應再
          檢查一次。
      5.帳號管理
     (1)使用者密碼如存入資料庫,必須經過加密處理,加密演算法依
          第七條第六款第 2~3 項辦理。。
     (2)使用者密碼設定時,應強制密碼至少以英文大小寫、數字及特
          殊符號其中三種以上混合組成,且密碼長度必須 6  個字元以
          上;若為管理者密碼,則密碼長度至少需要 15 個字元以上。
     (3)為避免密碼遭受暴力攻擊,須有密碼錯誤三次鎖定三十分鐘之
          機制。
     (4)須對 Session  連線時間加以限制,強制中斷超過三十分鐘未
          動作之 Session,及使用者登出必須刪除其 Session。
      6.資料庫連接
     (1)應依不同之權限需求,建立使用者帳號。
     (2)應遵守對資料庫存取使用最低權限。
     (3)嚴禁在程式中使用以最高權限帳號(如 sa) 連線資料庫。
     (4)連線資料庫伺服主機一律使用 Host Name,不得使用 IP 。
     (5)當資料庫伺服主機更改 IP 或帳號密碼時,應僅須更改一處設
          定檔即可。
      7.資料庫使用
     (1)限制每次傳回使用者的最大筆數不要一次顯示上百筆資料。
     (2)Insert  資料到資料庫,應寫明 Insert 的欄位,如此當 Ta-
          ble 增加欄位時,才不會影響到程式必須改寫。
     (3)避免在資料庫系統內使用資料庫廠商獨家特有之指令及功能,
          並使用 SQL/92 (含)以上之標準指令,以方便資料庫系統之
          轉移。
      8.套裝軟體變更
     (1)必要之修改或客制化套裝軟體不可變更原有之安全控制。
     (2)修改項目應符合程式開發要求,並通過完整之安全測試。
     (3)應記錄所有修改資訊與測試過程,並妥善保存。
(二)程式測試
      1.開發過程中必須對各完成單元進行功能性及安全性測試。
      2.安全性測試應參照 OWASP TOP 10 弱點進行查核及確認,以確保
        系統開發之安全。
(三)開發程式中不得撰寫或隱含下列事項:
      1.後門管理程式-用來管理伺服器服務或做程式異動等。
      2.木馬程式-回傳系統有關資料。
      3.資料攫取及 Web services 程式-方便資料之攫取。
      4.在系統中埋設程式自動失效日期。
      5.其他惡意程式及違反資安要求者。
      6.未經計畫承辦人認可之功能。
(四)政府組態基準(Government Configuration Baseline,GCB)設定
      政策:
      1.103 年 1  月 1  日起,應用系統若客製化 ActiveX  元件,應
        提出 ActiveX  元件程式碼簽章證明。
      2.103 年 1  月 1  日起之新建置軟體,應實施 ActiveX  安全性
        檢測(至少含弱點掃描、源碼檢測及滲透測試等必要項目)。
      3.配合行政院推動各機關導入政府組態基準(GCB) 設定,各類型
        應用系統及系統管理工具應確保 Windows 7  或 IE8  之使用者
        環境能正常使用。
      4.有關政府組態基準相關政策資訊,請參照行政院國家資通安全會
        報技術服務中心(網址 http://www.nccst.nat.gov.tw/) 辦理
        。

九、網頁製作
(一)網頁目錄
      1.應詳細規劃目錄架構。
      2.目錄及檔案之命名應通俗易懂。
      3.將不必要檔案加以清除,以維持目錄之乾淨
      4.以相對路徑做鏈結,避免使用絕對路徑。
      5.將開放與必須鎖定檔案,分別放在不同目錄,以方便權限管制。
(二)網頁格式及動線設計等,須參照行政院研考會網站營運交流平台相
      關規範。
(三)檔案上傳
      1.適當限制上傳目錄容量之大小。
      2.適當限制上傳檔案大小。
      3.將上傳目錄之權限設為不可執行檔案,以免被上傳惡意程式,然
        後加以執行。
      4.禁止上傳執行檔,尤其副檔名為 asp、aspx、jsp、exe、php 等
        。
(四)開放園地或意見信箱
      1.對於使用者連續輸入大量資料灌水,企圖灌暴硬碟,癱瘓系統之
        情形,及輸入不當資料如謾罵、謠言、廣告等狀況,應有處理機
        制。
(五)網站內容安全
      1.凡屬開放一般民眾查詢,如涉及單位機敏資料及個人隱私(如姓
        名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、
        教育、職業、健康、病歷、財務情形、社會活動、電話、住家住
        址)等資料,不可顯示;惟屬公務可公開者除外(如機關首長姓
        名、學經歷、單位主管姓名、職稱、公務電話等)。
      2.與網站無關之檔案應移除,避免被瀏覽。
(六)錯誤訊息回傳
      1.系統詳細錯誤訊息,不可傳給使用者。
      2.應用程式錯誤訊息(如資料庫錯誤訊息),不可傳給使用者。
      3.使用者不存在或使用者帳號密碼錯誤等訊息,不可傳給使用者。
(七)程式碼安全
      1.廠商所設計之應用程式不允許有安全與品質問題;不安全之撰寫
        缺失或品質缺失,應參照行政院國家資通安全會報技術服務中心
        (http://www.nccst.nat.gov.tw/)之共通規範-Web  應用程式
        安全參考指引。
      2.程式碼應放於有版本控制機制(至少應有 3  代版本)的安全儲
        存空間內,並施行良善的存取權限管控,且以安全機制進行程式
        碼的簽出(checkout)、更新(update)、簽入(commit)。
(八)對外服務之網站應視需求依政府無障礙規範取得無障礙標章。

十、系統測試
(一)本階段產出之文件為《測試計畫書》【附件 4】及《測試報告書》
      【附件 5】。
(二)開發中或正進行���護工作之應用系統及程式,只能在「測試環境」
      進行。
(三)避免使用現行正式區之資料作為測試資料,如需使用現行正式區資
      料應符合以下控管原則:
      1.應申請後由權責人員依申請內容將資料搬移至測試區。
      2.針對重要敏感欄位(如:身分證統一編號、住家住址、信用卡卡
        號等)應予以刪除或重新編碼後方可使用。
      3.需於測試完畢後,立即將測試資料予以清除。
(四)網站及資料庫應做壓力測試,其結果併入《測試報告書》中。
(五)測試項目通過準則
      1.測試個案擬定時應同時依需求規格及設計文件內容,說明本測試
        個案執行後之預期結果。測試個案執行結果如果不符合預期要求
        時,即應判為問題。
      2.測試個案執行結果如果有規格未明定,但依資訊系統慣例為明顯
        不合理或不便於使用時,亦判為問題。
      3.執行結果被判為有問題之個案,除經計畫承辦人簽奉同意列為系
        統限制且留有問題報告外,其測試結果即為不通過。
      4.當所有測試個案均執行完畢而未發現異常,或所有測試個案均已
        執行完成,即為通過測試工作。
      5.如相關人員對問題之判定有所疑義時,應報請計畫承辦人召開專
        案會議共同判定。
(六)需針對進行維護及開發的系統進行相關系統資安測試、原始碼檢測
      及 GCB  符合性檢測,並於測試報告書中檢附詳細測試(含檢測)
      結果。

十一、教育訓練
  (一)廠商應依訂定之時程,辦理教育訓練,並於訓練前提交下列文件
        :
        1.教育訓練計畫書
        2.教育訓練簡報講義
        3.使用手冊
  (二)教育訓練名單(或影本)如附於期末報告、會議紀錄或成果報告
        書中時,須將涉及個人資料(例如:身分證統一編號),予以刪
        除。

十二、系統驗收
  (一)廠商完成約定各項交付項目,並將期末審查會議意見中,有關成
        果報告書之修正及系統修改完成後,應函請計畫承辦人據以辦理
        驗收事宜。
  (二)依專案大小及複雜程度,可分階段執行驗收。
  (三)系統功能驗收
        1.計畫承辦人應摘錄契約書、需求規格書、設計規格書、期中、
          期末審查意見及專案相關會議等文件中,所載明須完成之各項
          功能,製作功能驗收清單,並逐項操作驗證功能是否符合,此
          紀錄列入驗收紀錄之附件。
        2.驗收通過準則:功能驗收清單中,全部項目均已建置完成且功
          能符合。
  (四)繳交文件(各項文件以繳交電子檔為原則,紙本視需求繳交)
        1.成果報告書。
        2.需求規格書。
        3.設計規格書。
        4.測試計畫書。
        5.測試報告書。
        6.系統操作手冊。
        7.系統執行檔光碟(如有,應予交付)。
        8.原始程式碼光碟(依契約書規定交付)。
        9.附加軟體、元件光碟(如有,應予交付)。
       10.軟體使用授權文件(如有,應予交付)。
       11.地理資訊成果資料(如有,應依「水利署及所屬機關地理資訊
          圖資管理作業規範」交付)。
  (五)驗收紀錄
        1.上述驗收工作完成後做成驗收紀錄。
        2.有未通過驗收項目,則訂定複驗日期再行複驗。

十三、系統上線
  (一)系統上線前應進行資訊安全相關檢測並提供證明。
  (二)系統上線前須於「水利資料整合雲」進行業務系統註冊,並完成
        認證及授權模組安裝、權限角色定義及權限指定等動作。
  (三)負責資料提供之資訊系統,需於「水利資料整合雲」註冊其資料
        提供服務;其它資訊系統存取上開註冊之資料前,需完成申請程
        序,待獲得同意後,方可進行資料存取。
  (四)廠商需撰寫《系統操作手冊》【附件 6】,據以做為系統安裝、
        備份及復原等用之。
  (五)原始程式碼不保存在作業系統上,只有執行碼才可存放在作業系
        統內。
  (六)上線使用
        1.應澈底刪除測試資料及測試帳號。
        2.管理者帳號密碼須由系統管理人員重新設定。
        3.如有系統資料轉換問題,應確認資料已經轉換完成,並通知相
          關人員及使用者。
        4.上線時間應避免影響正常作業,儘量選擇離峰時間。
        5.系統開發上線完成後,其原始程式碼及執行碼應妥善儲存控管
          。

十四、系統維護
  (一)系統上線運作後,如涉及系統須停頓時,應對使用者作適當之公
        告周知。
  (二)系統維護前先作系統影響評估,維護後執行測試並做相關文件之
        更新。
  (三)提供做為開放資料(Open Data) 之內容,應依個人資料保護法
        規定去識別化,結構化內容,並配合相關資料調查、填寫及資料
        入庫,以納入「水資源資料交換標準」內,俾利透過「水利資料
        整合雲」對外開放。
  (四)業務系統所管理、產製或維護之資料,需配合本署資料清查及資
        料內容提供等工作,以納入「水資源資料交換標準」內;於應本
        署要求提供資料分享或交換(含 Open Data)時,需配合填寫提
        供內容之相關資料及文件,且以「水利資料整合雲」資料交換機
        制為之,並配合安裝資料提供相關程式及實作相關資料,俾利資
        料分享及交換使用。
  (五)系統於對外進行資料交換或資料開放(Open Data) 時,應以「
        水利資料整合雲」相關流程及機制辦理,其中,若有資料庫者,
        應提供資料檢視(view)表(或資料表)連線資訊。
  (六)所承接的系統於開發、維護、保固期間(含系統維護案),承接
        廠商於接獲本署要求提供資料做為開放資料(Open Data) 時,
        除該資料未存在系統內例外,不論該資料是否在本署所管轄的主
        機上,均不得以任何形式或理由拒絕配合提供資料,需擬定資料
        提供開放資料期程(此期程不得逾契約或保固期間),並據以施
        行。
  (七)所承接的系統於開發、維護、保固期間(含系統維護案),承接
        廠商需就已開放且上架至國家發展委員會「政府資料開放平台」
        後的資料集,於合約及保固期間中預定期程,在資訊系統適當地
        方(如所開放資料集之特定網頁等)予以宣告、展示與揭露。
  (八)本署針對業務重要相關系統,得於系統於開發、維護、保固期間
        (含系統維護案)期間,要求承接廠商進行營運衝擊分析(Bus-
        iness Impact Analysis;BIA)及營運持續計畫(Business co-
        ntinuity planning;BCP),並就營運持續計畫施行演練。
  (九)系統維護保固,考慮事項如下:
        1.保固維護之責任範圍(包含負責工作項目與工作地點)
        2.程式錯誤(bug) 之定義與界定、功能瑕疵之定義與界定
        3.保固維護進行的方式,如現場維護、電話諮詢服務、線上支援
          服務、電子郵件支援等
        4.服務的方式與問題的提出方式,如問題紀錄單、電子郵件、電
          話等
        5.問題的提出者與接收者
        6.問題反應與回覆時間
        7.問題解決的方式與期限
        8.服務的時間,如:上班時間;08:30 AM-18:00 PM ,假日除
          外
        9.收費項目與計費方式
       10.保固期限、保固期起算點
       11.保固責任的地點
       12.保固期滿後的服務方式
       13.營運衝擊分析及營運持續計畫,並施行演練
  (十)系統若屬委外管理且對外開放服務之網站,應依照「經濟部計畫
        網站資通安全管理要點」辦理資安管控,並依據「經濟部水利署
        計畫網站資通安全管理計畫」實施各項資安作業項目。
  (十一)為維護系統資訊安全及落實個資資料保護,相關系統運行之使
          用紀錄、軌跡資料及證據等應做適當保存外,對應用系統的重
          要資料及個人資料,其之呈現、利用、交換、儲存等活動,亦
          應有適當的控制措施和稽核追蹤或活動日誌,以防止資料遺失
          、被修改或濫用。
  (十二)本署得視需要,為瞭解委外廠商資安防護現況,對委外廠商實
          施資安稽核,並據以要求廠商配合改善,涉資安疑慮未配合改
          善之系統,本署得中斷系統連線,或關閉系統運作。