第一條 目的 #
為管理供應商、顧問、外包、雲端、模型 API、硬體、資安、人資、會計、法務、智財與其他第三方服務,降低資料、資安、交付、財務與合規風險,特訂定本辦法。
第二條 供應商分類 #
- 一般供應商:辦公、行銷、活動、一般工具。
- 專業顧問:法務、會計、人資、智財、資安、管理顧問。
- 技術供應商:雲端、模型、SaaS、API、資料工具、開發外包。
- 醫療資料相關供應商:可能接觸個資、病歷、客戶系統或醫療場域。
- 關鍵供應商:停用將影響正式服務、客戶交付、資安或營收。
第三條 風險評估 #
委外前應評估:
- 服務內容與必要性。
- 是否接觸個資、醫療資料、客戶機敏或本一營業秘密。
- 資安認證、存取控制、日誌、事件通報。
- 服務地區、資料跨境、再委外。
- 財務條件、付款、SLA、退出方案。
- 是否為關係人或存在利益衝突。
第四條 合約要求 #
高風險與關鍵供應商合約應包含保密、資料處理範圍、安全措施、再委外限制、刪除/返還、事件通報、稽核權、服務水準、責任、終止與交接條款。
第五條 雲端與模型供應商 #
雲端與模型供應商應額外檢查:
- 客戶資料是否被用於訓練。
- 資料保存、刪除與日誌。
- 區域、跨境傳輸與資料主權。
- API 穩定性、成本、限流與備援。
- 安全白皮書、認證、漏洞通報。
- 可否支援地端、私有雲或客戶核准架構。
第六條 供應商台帳 #
Operations 應建立供應商台帳,包含名稱、服務、負責人、合約期間、付款、風險等級、資料接觸類型、資安審查、關係人標註、續約日期與退出方案。
第七條 存取管理 #
供應商如需存取公司或客戶系統,須採最小權限、期間限制、個人帳號、MFA 與日誌。專案結束或合約終止時應立即移除權限。
第八條 定期檢查 #
關鍵與高風險供應商至少每年復核一次。若發生資安事件、服務中斷、價格大幅變更、法規變動或客戶要求,應即重新評估。
第九條 禁止事項 #
不得未經核准將客戶病歷、本一 prompt、source map、模型路由、IP map 或未公開財務資料交付供應商。不得以個人帳號註冊關鍵公司服務並作為正式營運唯一帳號。
第十條 退出與交接 #
終止供應商合作時,應取得資料刪除或返還證明、停用帳號、移轉文件、確認未結費用與未完成交付,並更新供應商台帳。