十五、各機關於選任及監督受託業務之受託者時，應依資通安全管理法施 行細則第四條規定辦理相關事項。

十六、各機關應依專案類型，將資通安全驗證及治理能力納入受託者之資 格，並應將履約及駐點相關人員應熟知本府資通安全相關規定納入 資通安全人力之要求。

十七、本府禁止受託者遠端連線管理伺服器，如有遠端管理需求，應以MD VPN 或 SSL VPN等加密連線，一人一帳號且採取多因子認證，並僅 得連線至受託者管理之主機範圍，降低重要主機可能攻擊範圍；連 線及登入之相關紀錄應納入監控，有異常行為應停用帳號並進行調 查。

十八、各機關應要求受託者於發生可能影響機關之資通安全事件時，應依 資通安全事件通報及應變辦法所定時限，主動通知機關進行損害控 制或預防措施，以避免災情擴大或遭受波及。

十九、各機關應定期使用本府訂定之受託者稽核表進行稽核，確認受託者 辦理資通安全相關工作之情形；如有缺失，應追蹤管考，並納入後 續採購評估及限縮權限等風險控制措施，以降低委外辦理資通系統 或服務安全威脅。

二十、受託者所提供之軟硬體及資通系統，包含受託者內部及建置於機關 機房者，均應遵循臺北市政府資通系統安全共通規範。