7. A 公司承攬甲金融機構(屬資通 安全管理法規範對象)所委託之系統開發案，B 公司受 A 公 司之複委託，辦理部份系統開發業務，且 B 公司所負責之 Y 系統，部份系統程式碼係取自外部第三方所開發之程式碼。 下列說明何者最適切？
(A) 受託業務之委託金額未達新台幣一千萬元以上，故無 需辦理安全性檢測
(B) 本案應由 B 公司負責提供安全性檢測證明
(C) 甲金融機構自行或另行委託第三方進行安全性檢測
(D) 應標示 B 公司非自行開發之內容，但無須提供其來源 及提供授權證明

題目分析總結

法規依據

根據《資通安全管理法施行細則》第 4 條第 1 項第 5 款規定：

• 基本要求：客製化資通系統開發者（受託者）必須提供該資通系統之安全性檢測證明
• 加強檢測條件：若符合以下任一條件，委託機關應自行或另行委託第三方進行安全性檢測：
  • 該系統屬核心資通系統
  • 委託金額達新臺幣一千萬元以上
• 第三方程式碼規範：若系統使用非受託者自行開發之程式碼，應標示其來源並提供授權證明

題目情境重點

• 甲金融機構委託金額：888萬元（未達1,000萬元門檻）
• Y系統性質：非核心系統
• 承攬關係：甲金融機構 → A公司 → B公司（複委託）
• B公司使用第三方程式碼

選項解析

(A) 受託業務之委託金額未達新台幣一千萬元以上，故無需辦理安全性檢測

• 判斷：錯誤
• 理由：無論金額多寡，受託者均須提供安全性檢測證明。金額門檻只影響是否需要「委託機關自行或另行委託第三方」進行檢測。

(B) 本案應由 B 公司負責提供安全性檢測證明

• 判斷：錯誤
• 理由：B公司為複委託廠商，主要承攬商A公司才應負責提供安全性檢測證明。

(C) 甲金融機構自行或另行委託第三方進行安全性檢測

• 判斷：正確
• 深入分析：
  • 雖然本案未達法定強制門檻（金額888萬<1,000萬、非核心系統）
  • 但金融機構作為關鍵基礎設施，實務上通常採取更嚴格的安全標準
  • 選項描述的是金融機構「可以採取」的做法，並非違反法規
  • 相較於其他明顯錯誤的選項，這是相對最適切的說明

(D) 應標示 B 公司非自行開發之內容，但無須提供其來源及提供授權證明

• 判斷：錯誤
• 理由：法規明確要求必須「標示非自行開發之內容與其來源」並「提供授權證明」，三者缺一不可。

為何選擇(C)的理由

1. 消去法考量：其他三個選項都有明顯的法規錯誤
2. 實務考量：金融機構基於風險管理，常會採用高於法定最低標準的做法
3. 題目設計：在沒有「完美答案」的情況下，選擇相對最不違背法規且符合實務的選項

結論

正確答案為 (C)