系統弱點掃描服務

(1)

1. 專案概述...3

1.1 專案名稱...3

1.2 專案背景...3

1.3 專案目標...4

1.4 專案範圍...4

1.5 專案時程...5

1.6 專案職責...5

2. 現況說明...5

2.1 管理制度面...5

2.2 技術管控面...5

3. 需求說明...6

3.1 全天候7x24資安監控...6

3.2 入侵偵測及防禦系統...7

3.3 網頁應用程式防火牆...8

3.4 防火牆、主機健康狀況等監控...8

3.5 防毒系統...9

3.6 網路行為管理系統...10

3.7 系統弱點掃描服務...11

3.8 木馬檢測服務...13

3.9 滲透測試與網站弱點掃描服務...13

3.10 身分認證管控系統...14

3.11 磁帶異地存放服務...15

3.12 資安管理面需求...15

4. 管理需求...16

4.1 專案管理...16

4.2 專案人員...16

(2)

4.3 服務水準...17

4.4 保密責任...17

4.5 專案報告...18

4.6 其他...18

5. 交付項目...19

5.1 履約日後45天內...19

5.2 上半年...19

5.3 下半年...20

5.4 文件交付方式...20

6. 服務建議書製作規定...21

6.1 服務建議書製作及交付...21

6.2 服務建議書內容...21

附錄7-1經濟部國際本局網路架構示意圖...24

附錄7-2經濟部國際本局資通糸統一覽表...25

(3)

1. 專案概述

1.1

專案名稱

經濟部國際貿易局（以下簡稱「本局」）「108年資通安全防護專案」（以下簡稱「本專案」）。

(4)

1.2

專案背景

1.2.1 本專案用詞比照「資通安全管理法」，定義如下：

1.2.1.1 資通系統：指用以蒐集、控制、傳輸、儲存、流通、刪

除資訊或對資訊為其他處理、使用或分享之系統。

1.2.1.2 資通服務：指與資訊之蒐集、控制、傳輸、儲存、流通、

刪除、其他處理、使用或分享之服務。

1.2.1.3 資通安全（簡稱「資安」）：指防止資通系統或資訊遭

受未經授權之存取、使用、控制、控制、洩漏、破壞、

竄改、銷毀、或其他侵害，以確保其機密性、完整性及可用性。

1.2.1.4 資通安全事件（簡稱「資安事件」）：指系統、服務或

網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生，影響資通系統機能運作，構成資通安全政策之威脅。

1.2.2 本局95年起即以委外方式導入資安監控管理機制，並以服

務案模式部署適當之資安防護軟、硬體產品及提供技術支援，以應付駭客技術不斷翻新、日新月異的挑戰。本專案需考量本局整體網路環境及資通系統，所部署之系統或設備不得影響現有各項資通系統或服務之正常運作，且可支援IPv4及IPv6協定。本專案亦涵蓋資訊安全管理系統

（ISMS，Information Security Management System）之導入及通過第三方驗證，本局於96年10月取得ISO 27001國際資訊安全證書，每3年換證一次，108年需再重新驗證。

1.3

專案目標

1.3.1 導入適當之資安防護產品或技術，並提供7x24資安監控服

務，以保護本局區域網路所有網段（詳如附錄7-1）、資訊

(5)

1.4.2 入侵偵測及防禦系統之建置、維護及監控。

1.4.3 網頁應用程式防火牆之建置、維護及監控。

1.4.4 監控防火牆紀錄、主機健康狀況及網域控制站（DC）異常

事件。

1.4.5 防毒系統軟體授權更新、維護及監控。

1.4.6 網路行為管理系統之建置及維護。

1.4.7 網站安全弱點檢測、系統滲透測試、主機系統弱點掃描及

木馬檢測。

1.4.8 身分認證管控系統授權更新、維護及汰換40支使用者認證

裝置（TOKEN）。

1.4.9 資訊安全管理系統持續改善之輔導，並通過ISO 27001第三

方驗證。

1.4.10 資料備份磁帶異地存放。

1.4.11 所部署之系統或設備均可支援IPv4及IPv6協定

1.5

專案時程

本專案工作時程為1年，自民國108年1月1日(如本專案決標日晚於1月1日，以決標之次日為履約起始日)至108年12月 31日止；除本專案文件另有特別載明外，均以日曆天計算。

1.6

專案職責

得標廠商應成立專案團隊，負責專案之執行，定期產生相關報表及進行專案執行成果報告。

2. 現況說明

本局105、106及107年之「資訊安全防護專案」，以公開評選

委由專業廠商辦理，契約將於107年12月31日到期，該案完成之服務項目如下：

2.1

管理制度面

依據ISO 27001規範，針對本局資訊中心所管理且對資訊業務

(6)

運作有實質價值而需要保護之資訊資產，協助維護文件化之資訊安全管理系統，並辦理資安教育訓練，且通過5次每半年1 次之複審、1次重新驗證，延續本局ISO 27001國際資訊安全證照之有效性。

2.2

技術管控面

2.2.1 契約期間提供網路型入侵偵測系統、主機型入侵偵測系統、

入侵防禦系統、主機健康狀況監控系統、防毒系統、網路行為管理系統、備份磁帶異地存放作業及7x24資安監控服務，並將本局防火牆紀錄、DC異常事件等納入監控項目。

2.2.2 技術服務團隊除了負責相關軟體工具或硬體之安裝、設定

及管控外，並提供必要時之到場技術支援與顧問服務，如：

資安警訊專責工程師至少每2週到場服務1次（3小時），

防毒警訊專責工程師至少每月到場服務1次（3小時）。

2.2.3 提供安全性檢測與補強顧問服務：1.每季木馬檢測2.每季系

統弱點掃描3.每半年滲透測試4.每半年網站弱點掃描服務。

本局新系統上線前或系統重大變更時，亦配合提供前述4 項安全性檢測服務。

3. 需求說明

本專案所需之服務項目如下：

(7)

3.1

全天候 7x24 資安監控

3.1.1 提供全天7x24資安監控管理機制，監控範圍含入侵偵測及

防禦系統、網頁應用程式防火牆、防火牆、系統主機健康狀況、防毒伺服器主機等（詳3.2、3.3、3.4及3.5所列內容），發生任何可疑入侵行為時，必須以電子郵件、電話或簡訊即時通報本局指定人員，並提供本局遭受威脅或入侵之問題排除、防禦建議，必要時，本專案技術工程師必須到場會同本局資訊人員進行資通事件緊急應變處理。

3.1.2 如行政院國家資通安全會報要求本局，應將所蒐集的資安

事件資訊，透過共通規格傳送給國家資通安全防護中心時，

得標廠商需配合建立此通報機制。

3.1.3 本專案技術工程師至少每2週到場服務1次（3小時），進

行資安防護相關產品之調校與稽核，提供必要之資料分析、

諮詢服務或安全管理建議。

3.1.4 每月提供資訊安全監控服務報告，內容至少包括：資安通

報事件發生時間及原因、處理方式及完成時間；前十大連線來源主機、目標主機；系統主機健康狀況監控紀錄。

3.1.5 得標廠商執行本專案工作如採遠端作業模式，其資訊安全

監控管理中心(SOC，Security Operation Center)需建置於國內地區，並由專業資安監控工程師負責監控與管理，非經本局同意，不得將監看資訊提供予本案無關之個人或團體。

其遠端監控之網路連線作業須提供安全機制，例如使用

VPN、傳輸加密、專線等。必要時，本局得對該SOC進行

資安稽核。

3.2

入侵偵測及防禦系統

3.2.1 本局資通系統伺服器分佈於10個(未來最多擴充至12個)不

同的網路區塊(VLAN)，使用者端則位於同一網路區塊。得標廠商需提供網路型入侵偵測系統（IDS，Intrusion

Detection System）、入侵防禦系統（IPS，Intrusion

Prevention System）等設備，並參考本局網路環境（詳本文

件附錄7-1），將前述設備置於適當之網路節點，有效防護

與監控本局網路異常封包。

(8)

3.2.2 得標廠商提供之IPS需有Bypass的機制，以不影響正常網路存取為原則。

3.2.3 針對本局約30台對外提供網站服務功能之系統主機，提供

主機型IDS或IPS服務，需包含網頁安全防護，當所指定保護檔案或目錄被置換時能立即回復，且需查明原因，提供補強建議，並留存紀錄。

3.3

網頁應用程式防火牆

3.3.1 為避免本局對外服務網站遭受網際網路應用層通訊協定之

網頁應用攻擊，得標廠商需提供網頁應用程式防火牆

（WAF，Web Application Firewall），其吞吐量

（Throughput）須達1000 Mbps（含）以上，且有Bypass的機制。

3.3.2 履約期間需提供之服務內容包含：

3.3.2.1 維持WAF設備及納入WAF保護之對外服務網站正常運

作。

3.3.2.2 不定期設備安全規則的設定與調整，以因應新增保護標

的或既有保護標的網頁應用程式之新增、改版或網站原始設定之變動。

3.3.2.3 本局定期或不定期執行弱點掃瞄的結果設定為安全規則。

3.3.2.4 每月或必要時至少產生相關統計報告，如下：

A、網頁入侵攻擊手法統計表

B、網頁入侵攻擊10大攻擊者IP統計表

C、網頁入侵攻擊10大攻擊者國家統計表

D、網頁入侵攻擊10大被攻擊網站統計表

E、網頁入侵攻擊10大事件統計表

F、其他（依本局要求）

(9)

3.4

防火牆、主機健康狀況等監控

3.4.1 本局現有3組防火牆設備，該設備之維護服務及防火牆組

態（Firewall Configurations）設定不在本專案服務範圍，惟本案得標廠商需提供防火牆系統監控服務，全天候偵測駭客、蠕蟲等攻擊入侵事件，辨識並阻絕攻擊封包、病毒、

惡意程式（木馬、蠕蟲），並即時針對網路上傳輸之封包，

進行分析研究，判斷是否會造成安全事件。

3.4.2 監控約120台上線系統主機健康狀態，包含：磁碟使用量、

CPU負載、記憶體使用量、網路流量等。

3.4.3 偵測DC異常事件，主要在於發現異常的帳號登入與異動情

形，偵測項目包括：單一來源IP持續登入失敗、對單一帳號持續登入失敗、非法Administrators群組帳號存取事件偵測、非預期帳號登入事件偵測、帳號異動事件偵測及非預期排程執行偵測。

3.5

防毒系統

3.5.1 提供及部署至少500套防毒於個人電腦及伺服器，並提供

本系統之安裝、設定、升級及故障排除等服務，該軟體基本要求如下：

3.5.1.1 由中央控制台，系統管理者可集中設定清除政策、清除

時程，並可達到自動佈署定義檔及程式的更新，且系統管理者可透過中控台設定不同的使用者管理政策。

3.5.1.2 可透過系統Logon Script和Windows DC的Group Policy 來進行佈署。

3.5.1.3 使用者端可從中央控制端更新資料，節省時間與頻寬使

用。

3.5.2 需透過電子郵件、電話或簡訊方式，即時通知本局相關資

訊(如：病毒警訊、更新狀態、產品技術及安全通告等)，以確保威脅發生即時掌握。

3.5.3 需提供之技術支援服務至少包含：防毒政策之制定，防毒

系統之安裝、設定、升級及故障排除，相關事件狀況排除，

客製化移除工具。如無法以電話協助解決，應即指派工程師到場協助處理。

(10)

3.5.4 本項服務支援技術工程師至少每月到場服務1次（3小時），

進行防毒系統定期檢測服務，掃瞄本局區域網路內是否有未安裝防毒軟體之主機、是否存在有混合式病毒流竄及防毒伺服器是否有相關弱點，並提供每月防毒分析報表及改善建議。

3.6

網路行為管理系統

得標廠商提供網路行為管理相關設備，並執行以下服務：

(11)

3.6.1 針對本局使用者端網路行為，需提供內容過濾、稽核、統計分析等網路行為管理服務。

3.6.2 可針對P2P、IM等連線行為進行阻擋與監控，若偵測網路

行為異常時，能主動進行斷線作業。

3.6.3 當使用者大量佔用頻寬，如P2P分享網站、影音串流、

MP3、或其他大量下載等應用類別，可提供阻擋連線作業。

3.6.4 提供每日更新、數量足夠、內容準確且至少分50大類之

URL資料庫，以預防因上網被植入間諜軟體、木馬程式、

蠕蟲、病毒、廣告等惡意程式，降低上網行為的資安威脅。

3.6.5 必須能整合本局帳號管理機制，制定行為存取權限，並可

依據個別群組制定對應管理政策。

3.6.6 需提供使用者端上網行為管理政策之建議，並建立稽核標

準(Baseline)。

3.6.7 需確保原始檔案之完整性與資料管理之安全性，並保留至

少1年之原始分析資料。

3.6.8 每月或必要時至少產生相關統計報表。

3.6.8.1 依據連線行為分類10大排行榜。

3.6.8.2 依據使用者/IP/部門連線行為排行榜。

3.6.8.3 依據連線網站類別排行榜。

3.6.8.4 使用者群組使用率比較報表。

3.7

3.7.1 針對本局所提供目標設備IP（含伺服器、防火牆及路由器

等約150個），每季於區域網路內部進行1次系統弱點掃描服務，並於掃描完成後2週內提供中文化分析報表電子檔。

針對高風險之弱點，於弱點補強後再次掃描，確認其弱點已排除。必要時，需提供弱點補強技術諮詢服務。

3.7.2 需配合進行弱點掃描之作業系統包含Microsoft

WINDOWS、LINUX、UNIX等作業系統各版本及架設其上

之服務（如

FTP、TELNET、WWW、POP3、SMTP、NetBios、RLogin

、DNS、…等）。

(12)

3.7.3 需配合進行弱點掃描之Web應用程式可支援掃描

PHP、ASP、ASP.NET、JavaScript與CGI等常見的網頁技術，並包含下列「安全弱點掃瞄項目(類別)」之弱點檢測：

Cross-site Scripting(XSS)、SQL Injections、File

inclusion、Directory traversal、Code execution、CRLF injection與Input validation等攻擊之網站。

3.7.4 進行弱點掃描前需先瞭解本局之網路及系統環境，不得更

動或影響本局原有系統環境與設定。

3.7.5 弱點掃描中文化分析報表以圖形化展現各類統計資料，至

少需包含以下內容：

3.7.5.1 管理報表部分：

 該次掃描整體主機安全風險評估 A、整體說明。

B、評量機關所面臨安全風險等級（高度、中度、

低度）並統計健康主機數量。

C、各風險等級所出現安全弱點數量及嚴重程度之統計報告。

 該次掃描發現之安全弱點分析：

A、所有主機出現之「安全弱點型態」統計分析圖(常見服務及常見作業系統、最高風險漏洞)。

B、安全弱點型態分析（包含：本次掃描最常見的漏洞與類別）。

C、攻擊容易度分析（包含：弱點攻擊容易度、

弱點攻擊要求等）。

D、所有主機安全弱點之「存在漏洞的服務數量範圍」統計分析圖。

E、所有安全修正方式之「統計分析圖」。

 重大安全弱點之評分排序：提供攻擊威脅、安全危害、技術說明及修正資訊等資料。

(13)

C、針對修正程式及軟體更新管理提供弱點修補建議。

 主機弱點資訊報告

A、主機出現的安全缺失說明（名稱及風險等級及評估）。

B、安全缺失修復資訊說明。

C、弱點可取得資訊說明。

 主機建議說明。

(14)

3.8

木馬檢測服務

3.8.1 每季以最新木馬特徵檢測工具針對本局所提供系統主機

IP(約150個）進行木馬檢測工作(包括：本機檢測、通訊檢測等)，於完成後2週內提出中文化之木馬檢測報告書(內容必須包含：檢測日期、檢測對象主機名稱、木馬名稱(事件描述)、木馬清除步驟、建議應變事項等)。

3.8.2 針對發現木馬之主機，協助本局追踪感染來源，杜絕類似

感染途逕，降低資安事件發生機率。

3.9

滲透測試與網站弱點掃描服務

3.9.1 針對本局重要資訊系統主機(包含本局委外建置於局外之網

站，約30個IP)，每半年進行1次外部滲透測試與網頁弱點

掃描服務，並於掃描完成後2週內提供中文化分析報表電子檔。本局完成弱點補強後，需再進行複測，並提供差異化分析報告；網頁弱點掃描報告應排除誤判的情形並提供可執行的建議方案；必要時，需提供弱點補強技術諮詢服務。

3.9.2 滲透測試服務完成後，提供「滲透發現報表」，其中應該

說明與圖形化表示：包含所發現的所有受測主機之作業系統版本、提供服務、以及滲透成功所利用的弱點或者漏洞資訊(含網路相關資訊鏈結)等報表資訊。

3.9.3 4-8-3滲透測試服務完成後，提供「滲透測試過程流程圖」，

其中應該說明與圖形化表示：至少包含滲透測試過程中的每個步驟的起迄時間、每個步驟使用的滲透測試模組、以及階層式滲透測試的關係。

3.9.4 滲透測試服務完成後，提供「滲透流程歷史報表」，針對

每個步驟所使用的滲透測試模組詳細說明「動態結果/最後結果(Output)」、「執行過程紀錄與失敗紀錄

(15)

3.9.6 網站弱點掃描檢測服務工具，需能進行最新OWASP Top 10 常見網站漏洞檢測；掃描引擎需可支援掃描

PHP、ASP、ASP.NET、JavaScript與CGI等常見的網頁技術。

3.10

身分認證管控系統

3.10.1 本局現有認證管控系統(RSA Authentication Manager V8.1

SP1)授權至107年12月31日，得標廠商需提供合法版權

更新軟體授權1年，且維持該系統正常運作。

3.10.2 每季需到場辦理定期維護服務，包括系統功能檢測、紀錄

檔檢視及軟體升級。

3.10.3 汰換40支屆期之RSA使用者認證裝置（TOKEN）。

3.11

磁帶異地存放服務

3.11.1 得標廠商應提供存放備份磁帶之異地機房，異地機房需距

離本局30公里外且具備全年24小時無休保全防護及機房出入口門禁管控，保全系統與保全公司連線。

3.11.2 需提供防磁保險箱存放備份磁帶，異地機房至少存放5箱

最新之每日備份及1箱不定期備份磁帶，每一保險箱至少可容納10捲LTO磁帶。

3.11.3 需於政府行政機關辦公日至本局收取每日備份保險箱，並

運送至異地機房；不定期備份專用保險箱則在接獲本局通知時才運送。

3.11.4 發生資安事件或進行演練測試，必須使用備份磁帶時，得

標廠商必須在接獲本局通知後在8小時內，將備份磁帶安全送至本局指定地點。

3.12

資安管理面需求

3.12.1 本局資訊中心取得之ISO 27001:2013國際資訊安全證書將

於108年10月22日到期，得標廠商需提供本局資訊中心

順利通過ISO 27001每3年1次之重新驗證審查作業之服

務。

3.12.2 配合重新驗證及「資通安全管理法」規範，提供文件增修

之顧問服務。

(16)

3.12.3 本專案專業顧問需到場協助本局資訊中心完成每半年1次的內部資安稽核，並交付內部稽核計畫及報告。

3.12.4 提供3小時一般使用者/主管之資安教育訓練（台北2場、

高雄2場，共約400人）。

3.12.5 提供至少6小時資訊/資安人員專業教育訓練（可分次在

台北上課，約20人）。

4.管理需求

(17)

4.1

專案管理

4.1.1 為確保本局資安防護之深度與強度能符合國家資通安全整

體防護體系之要求及ISO 27001國際標準，本專案管理需涵蓋專案內各項服務，請於服務建議書提出管理辦法及計畫，

以PERT圖或甘特圖表示各項工作時程（需列出查核點及查核項目）。

4.1.2 投標廠商需說明公司整體組織架構及人員數，預計投入本

專案之人數、組織架構、報告管道、與本局聯絡方式及專案進行過程人員互動方式。

4.2

專案人員

4.2.1 投標廠商應說明預定參與專案工作小組成員，至少包括：

專案經理1人、ISMS顧問1人、技術顧問1人及技術工程師3人等。有關人員應列明其姓名、學經歷、專長、年資、

於本專案之角色及分工情形。

4.2.2 前項所列參與專案工作小組成員非經本局同意，不得任意

更改；如有人員異動應於10個工作天前函知本局，並檢附接替人員相關經歷證明文件，經本局書面審核同意後更換。

4.2.3 專案經理應具2年以上資安相關規劃與管理之經驗。

4.2.4 ISMS顧問應具ISO 27001主導稽核員証書(Lead Auditor Course Certification)及2年以上ISMS輔導或稽核經驗。

4.2.5 技術服務團隊(含技術顧問、技術工程師)應有具備MCSE認

證執照（至少1張）、CCNA認證執照（至少1張）、防毒認證執照（至少1張）及資安CISSP專業認證執照(至少1 張)。

4.3

服務水準

4.3.1 資安監控發現有異常紀錄或可疑入侵行為，需於30分鐘內

進行警訊通報。

4.3.2 資安監控服務異常需於24小時內排除故障。

4.3.3 本專案監控之網站遭置換或網路遭癱瘓時，須於2小時內

發現，且於1日內完成損害管制。

(18)

4.3.4 資安監控機制異常或遇緊急資安事件時，經本局認定需到場處理時，得標廠商須於接獲本局通知（電子郵件、電話、

或傳真）後2小時內派專業工程師至現場處理。

4.3.5 得標廠商所提供之資安防護硬體設備故障時，須於接獲本

局通知後2小時內回覆，並於4小時內派員至現場處理；如檢查為硬體損壞時，須於8工作小時內提供規格功能等級不低於原設備之備品。

4.4

保密責任

履行本專案所知悉之本局各項業務及作業事項（含文件、資料及報表等），應善盡保密責任，非經本局許可不得以任何方式將其內容提供予本案無關之個人或團體，否則得標廠商應負法律責任，如因此造成本局損失（有形及無形）應負刑事及民事賠償責任。本局於履約期間得派員監督有關作業，

得標廠商不得拒絕。

(19)

4.5

專案報告

4.5.1 本專案開始時，專案經理需提出書面資料於會議中向本局

報告完成資安防護產品部署，且監控防護功能運作正常。

4.5.2 本專案契約期間，由專案經理每月提出書面資料於會議中

向本局報告專案工作狀況及執行成效，視需要技術工程師應到場協助說明。

4.6

其他

4.6.1 本局應用系統新開發、應用系統重大變更時，應配合提供

系統上線前相關安全性檢測服務（詳3.7、3.8、3.9）。

4.6.2 本專案所提供之資安防護產品軟硬體需支援IPv4 / IPv6雙

協定架構（IPv6需為Native IPv6 support），於IPv4及IPv6 雙網路並存環境下，仍能確保本局整體資安防護能力。

4.6.3 得標廠商應採取符合規範，達成有效之資安服務，非侷限

於現階段產品之功能，如於服務期間內，廠商所提供之服務(含產品)無法滿足資安要求或改善新型態資安問題，廠商應立即採取較新之防護技術(包含軟、硬體更新)，以確保本局資安。

4.6.4 本局得視廠商履約情形、年度政府預算核定情形及資訊科

技的發展狀況，考量是否續簽契約。如有續約，得標廠商需提供新年度專案工作服務建議書，做為雙方議價之依據。

4.6.5 專案結束後，原得標廠商需負責與新得標廠商進行業務交

接，交接期間為1個月（不限契約期間）。

5.交付項目

5.1

履約日後 45 天內

5.1.1 服務建議書所列資安防護產品軟硬體之授權證明

5.1.2 資安防護產品部署完成報告書

5.1.3 使用者認證裝置（TOKEN）40支

(20)

5.2

上半年

5.2.1 全天候7x24資安監控

資安監控服務報告（每月）

系統主機健康狀態監控報告（每月）

5.2.2 網頁應用程式防火牆

網頁入侵攻擊手法統計表

網頁入侵攻擊10大攻擊者IP統計表

網頁入侵攻擊10大攻擊者國家統計表

網頁入侵攻擊10大被攻擊網站統計表

網頁入侵攻擊10大事件統計表

(以上報表至少每月產生1次)

5.2.3 防毒系統

防毒分析報表及改善建議報告（每月）

5.2.4 網路行為管理系統

依據連線行為分類10大排行榜

依據使用者/IP/部門連線行為排行榜

依據連線網站類別排行榜

使用者群組使用率比較報表

(以上報表電子檔存於系統主機，至少每月產生1次)

5.2.5 系統弱點掃描服務

弱點掃描服務報告書（每半年）

5.2.6 木馬檢測服務

木馬檢測服務報告書(每半年)

5.2.7 滲透測試與網站弱點檢測服務

滲透測試服務報告書(每半年)

網站弱點檢測報告書(每半年)

(21)

5.2.10 每月報表最遲於次月10日（遇國訂假日順延）交付。

5.3

下半年

5.3.1 同上半年

5.3.2 ISO 27001評鑑結果報告（每年10月）

5.3.3 新年度專案工作服務建議書或工作交接計畫書（每年12

月）

5.4

文件交付方式

得標廠商需以套裝軟體（如：Microsoft Office或Open

Office）製作，依各項所訂時程，先以電子郵件交付（5.2.4除

外)電子檔1份，經本局審定後燒錄成光碟片（上半年、下半年各1份)，並製作光碟片內容一覽表（紙本)，供書面驗收用。

6.服務建議書製作規定

6.1 服務

建議

書製作及交付

封面：建議書封面請註明本專案名稱、投標廠商名稱及製作日期。

格式：直式橫書，以A4紙張雙面列印、列距1-1/2列，裝訂線在左側，並加編頁碼。

份數：乙式10份(每份限制100頁內)。

交付時間及地點：

截止時間：詳公告文件內容。

交付地點：臺北市湖口街1號經濟部國際貿易局秘書室(總收發)。

交付方式：投標廠商應將建議書10份，連同密封之廠商資格審查文件及相關投標資料，送至交付地點交付。

6.2 服務建議書內容

服務建議書內容應以精要為原則，但應詳述專案主體與解決方

(22)

案，並提供評選項目與服務建議書頁次對照表，服務建議書內容綱要如下：

1.評選項目與服務建議書內容對照表

須依評選項目（詳文件5-2廠商評選表）列出與服務建議書內容之對照頁次。

2.概述 3.專案說明

3.1專案名稱

3.2專案目標

3.3專案範圍

3.4專案時程

4.需求建議

4.1資安防護建議 4.1.1整體方案

說明達成專案目標之解決方案及整體架構。

4.1.2全天候7x24資安監控管理

說明公司7x24資安監控管理能力及服務水準、建議監控服務項目及範圍。

4.1.3工具及產品

說明本專案規劃採用之工具軟體或硬體設備，如何發揮其防護之功效。

4.1.4技術支援及顧問服務

說明專案期間所提供之服務項目、內容及服務水準，

如何符合本專案之需求。

4.1.5資安管理面需求

說明驗證、顧問輔導及資安教育訓練規劃內容。

4.2管理建議

4.2.1公司實績及能力

(23)

長、於本專案之角色及分工情形。

4.2.4協力廠商

如有協力廠商參與本專案，應列明其曾經承包過與本專案相關之專案名稱、單位、聯絡人及電話，並說明其與得標廠商之合作模式，參與專案人員之分工情形。

4.2.5其他建議

含本局需配合事項。

5.交付項目與時程建議 4.1交付項目與日期

4.2工作時程與重要查核點 6.成本分析

應說明投入本專案各項服務之人力成本及工具費用（含服務內容或設備規格、數量、單價及總價）。

7.預期效益

說明若依據上述之各項建議，可達成專案目標程度與預期效益。

8.附註（包括證明文件及相關參考資料等）

(24)

附錄

附錄7-1經濟部國際本局網路架構示意圖

(25)

附錄7-2經濟部國際本局資通糸統一覽表項次系統名稱

1 簽審系統（含關港貿單一窗口）

2 企業內部出口管控制度系統(ICP)

3 官網暨主題網（含TPP及新南向、WTO及ECFA）

4 Intranet

5 貨品分類系統（含中文造字）

6 公文整合及線上簽核管理系統（含高辦）

7 補助國際參展管理系統

8 廠商系統

9 廠商推貿基金催收系統 10 原產地證明系統

11 貿易統計系統

12 薪資系統（含高辦）

13 差勤系統（含高辦）

14 行政優化系統

15 ISMS管控系統

16 訪賓系統

17 公文電子交換系統

18 基金系統

19 圖書系統

20 貿易糾紛系統 21 個資保護彙整系統 22 敏感資料燒錄申請系統

23 立委系統