31. 情境如附圖所示，為了滿足資通安全管理法有關 公務機關或特定非公務機關，於資通安全管理法適用範圍 內，委外辦理資通系統之建置、維運或資通服務之提供，應 考量受託者之專業能力與經驗、委外項目之性質及資通安全 需求，選任適當之受託者，並監督其資通安全維護情形之要 求，因此 A 公司與甲客戶均實施了一系列有委外選任與監 督責任之要求作為。試問有關 A 公司與甲客戶所實施之作 為，下列何者較「不」適當？
(A) A 公司實施包含受託業務相關活動在內之有關資訊 資產進行風險評鑑
(B) 甲客戶定期以稽核方式確認 A 公司對於受託業務之 執行情形
(C) 甲客戶委託 A 公司對該委託業務之資通系統實施安 全性檢測
(D) A 公司標示非自行開發之內容與其來源及提供授權 證明

在資通安全管理法的框架下，委外辦理資通業務時，委託方（甲客戶）負有「監督」與「確保安全」的最終責任。以下是各選項的詳細分析：

• (A) 正常且必要： A 公司作為受託者，為了符合 ISO 27001 要求並確保開發品質，對相關活動與資產進行風險評鑑是建立管理制度的基礎。

• (B) 合規要求： 根據《資通安全管理法施行細則》，委託方應定期或不定期稽核受託者的資安維護情形。這是履行監督責任的核心手段。

• (D) 供應鏈安全： 題目提到部分系統利用第三方開發，A 公司標示來源並提供授權證明，符合資安供應鏈管理與智財權保護的要求，亦能避免系統中夾雜不明來源的惡意代碼（如後門）。

• (C) 最不適當： * 利益衝突（Conflict of Interest）： 在資安管理原則中，開發者不應是唯一的測試者（即「球員兼裁判」）。雖然開發者應進行單元測試或內部測試，但若甲客戶要履行資安法的「安全性檢測」監督義務，應由甲客戶自行執行或委託獨立的第三方資安公司進行檢測（如弱點掃描或滲透測試）。

  • 監督責任： 若將安全性檢測完全交由「開發該系統」的 A 公司來執行並提交報告，甲客戶將難以客觀驗證系統的安全性，這在法規監督與風險控管上被視為較不適當的作法。