FSTS 供應商安控檢核表

富邦證券針對 FSTS 外部供應商（含 SYSCOM 本身作為承包廠商）的 15 項資安前置檢核，每項逐條「□ 符合 / □ 不符合 / □ 不適用」，由經辦 + 科主管雙簽。回入口：FSTS 專案總覽。另見自系統的 AP/OS/DB 檢核： DB）。

定位

本表為 D4 系列的供應商版，聚焦於廠商交付過程中的資安義務，而非已部署的資訊系統組態。與自系統的 AP/OS/DB 檢核平行存在，不取代也不相互取代。¹

表頭格式：

欄位	說明
項次	1–15
項目	檢核敘述
評估結果	□ 符合 / □ 不符合 / □ 不適用
此項屬資訊管理辦法	是 / 否（決定是否必填辦法條文）
辦法條文	若屬辦法則填條次
經辦檢核簽章 / 科主管覆核簽章	雙人覆核
不符合/不適用項目說明	敘明理由

15 項檢核清單

1. 帳號 / 權限 / 廠商帳號管理（5 項）

#	項目	辦法	條文
1	已規劃一套帳號命名規則及授權方式	否	—
2	已規劃帳號權限新增 / 變更 / 定期審視之機制	否	—
3	已規劃限制個人帳號僅供一人使用，不允許共用個人帳號	是	一般與資訊人員資訊作業管理辦法 §5
4	不存在不明、未使用或離職人員／廠商之帳號（廠商提供之服務不適用）	是	一般與資訊人員資訊作業管理辦法 §5
5	已規劃優先考量與 AD 網域系統整合；若無法整合，須符合辦法 §5 密碼安全要求	否	—

¹²

2. 交付文件（1 項）

#	項目	辦法	條文
6	已規劃相關文件：系統分析 / 開發 / 設計 / 測試 / 使用者手冊 / 故障復原程序 / 工作及技術轉移計畫書	是	系統開發與維護管理辦法 §3；系統設備維護作業管理辦法 §3

³

3. 服務水準與到場時間（2 項）

#	項目	辦法	條文
7	已規劃廠商服務水準（如 7×24）	是	資訊共用暨供應商管理辦法 §4
8	已規劃廠商到場服務之時間限制	否	—

⁴

4. 罰則與稽核權（2 項）

#	項目	辦法	條文
9	已規劃廠商違反資安之罰則	是	資訊共用暨供應商管理辦法 §4
10	如涉及業務委外營運，已規劃對廠商之稽核權	是	資訊共用暨供應商管理辦法 §4

⁵

5. 規格 / 資格 / 驗收（3 項）

#	項目	辦法	條文
11	已規劃廠商需求規格	是	資訊共用暨供應商管理辦法 §4
12	已規劃廠商資格	否	—
13	已規劃廠商作業驗收標準	是	資訊共用暨供應商管理辦法 §4

⁶

6. 智慧財產 / 軌跡（2 項）

#	項目	辦法	條文
14	已規劃廠商保密要求、智慧財產權	是	資訊共用暨供應商管理辦法 §4
15	已有考量留存適當之軌跡紀錄	是	系統設備維護作業管理辦法 §7

⁷

簽核與時點

• 權責主管 於表格底部簽章
• 檢核日期 以 YYYY/MM/DD 格式填於最下欄
• 不同於 AP/OS/DB 表有三階段，本表僅一次性檢核（不細分規劃／UAT／上線）¹

與自系統檢核的對照

本表 15 項集中在「廠商交付過程」；自系統 D4 分為 AP(78)／OS(64)／DB(55) 項，聚焦已部署系統組態。兩者合計 212 項。¹

重疊主題	本表（供應商）	自系統 D4（AP/OS/DB）
帳號命名規則	#1	AP/OS/DB §1.1
個人帳號不共用	#3	AP/OS/DB §1.3
離職人員帳號清理	#4	AP/OS/DB §1.5
交付文件	#6	AP §4、OS §4、DB §4
服務水準 7×24	#7	AP §9.1、OS §8.1、DB §7.1
違反資安罰則	#9	AP §9.3、OS §8.3、DB §7.3
委外稽核權	#10	AP §9.5、OS §8.5、DB §7.5
驗收標準	#13	AP §9.9、OS §8.9、DB §7.9
保密／智財	#14	AP §9.10、OS §8.10、DB §7.10
軌跡紀錄	#15	AP §10（log）、OS §10、DB §9

與其他頁的關係

• DB） — 系統內部面
• RFP 招標規格書 — 對廠商提出的商業規格
• Cutover Runbook — 上線前應完成本表

參考資料

Footnotes

1. 10. 供應商安控檢核表-D4 §總覽 ↩ ↩² ↩³ ↩⁴

2. 10. 供應商安控檢核表-D4 §項目 1–5 ↩

3. 10. 供應商安控檢核表-D4 §項目 6 交付文件 ↩

4. 10. 供應商安控檢核表-D4 §項目 7–8 服務水準 ↩

5. 10. 供應商安控檢核表-D4 §項目 9–10 罰則與稽核 ↩

6. 驗收 ↩

7. 10. 供應商安控檢核表-D4 §項目 14–15 智財與軌跡 ↩