Contract
「物聯網資安認驗證制度認可實驗室」權利義務規章
申請機構茲向「物聯網資安認驗證制度推動暨驗證機構」(以下簡稱制度推動暨驗證機構)申請登錄其所屬之實驗室為「物聯網資安認驗證制度」(以下簡稱本制度)之「物聯網資安認驗證制度認可實驗室」
(以下簡稱測試實驗室),同意遵守以下條款:
1. 制度推動暨驗證機構之權利義務
1.1.制度推動暨驗證機構因主管機關或制度推動暨驗證機構公告之規範或要求得隨時變更本規章,因此而直接涉及申請機構之部分,應於合理期間內告知申請機構。申請機構於收到通知後,未即為異議表示者,視為同意該項變更。
1.2.制度推動暨驗證機構應將合格證書所登載資訊,公告於制度推動暨驗證機構網站或以其他方式對外公告之。
2. 申請機構之權利義務
2.1.申請機構應據實提出相關認證或其他相類似作業所需文件,並配合制度推動暨驗證機構定期或不定期之監督、xx、訪談、抽驗等作業要求提供相關資訊,如經發現申請機構所提供之資訊不實或不足,制度推動暨驗證機構得註銷實驗室之登錄並通知認證機構撤銷認證證書,如因xx不實或疏漏而造成損害,應負賠償責任。
2.2.制度推動暨驗證機構因提供申請機構登錄而遭任何第三人求償時,申請機構應就該等求償負責。
2.3.申請機構下列相關資訊之異動,應於異動發生日起 15 日內,填具「物聯網資安認驗證制度記載事項異動申請書」並檢附變更事實証明文件向制度推動暨驗證機構提出申請。
a.機構名稱或地址之異動 b.機構負責人之異動
c.實驗室名稱或地址之異動 d.實驗室主管之異動
e.合格證書內記載事項之變動 f.業務變更、終止或停業
2.4.前項異動,如申請機構未依期限檢附文件向制度推動暨驗證機構提出異動申請,制度推動暨驗證機構於必要時得暫時註銷實驗室之登錄並通知認證機構暫時終止認證使用,並於違規情節重大時,註銷實驗室之登錄並通知認證機構終止認證。
3. 測試實驗室之權利義務
3.1.測試實驗室應維持品質系統及技術能力,以符合制度推動暨驗證機構所訂之規範與要求。
3.2.測試實驗室應接受制度推動暨驗證機構之定期或不定期之監督、查訪、訪談、抽驗等作業,並配合制度推動暨驗證機構要求提
供所需相關資訊、場地、人員及完成作業所需之必要協助。
3.3.測試實驗室出具之資安測試報告不得有虛偽不實,或經制度推動暨驗證機構審核認定不合格。
3.4.測試實驗室受理測試申請案件,應秉持公平、公正、獨立之立場,無正當理由不得拒絕受理、給予差別待遇或有違反公正性、公平性之行為。
3.5. 測試實驗室與其受理測試之申請者間,不得有妨害測試制度公正性之關係。
3.6. 測試實驗室或其服務人員對於申請者及測試相關資料,應嚴守秘密,退職人員亦同。
3.7. 有違反 3.1~3.6 之情況時,制度推動暨驗證機構得公告、註銷實驗室之登錄並通知認證機構撤銷認證證書。
3.8. 測試實驗室應將送測之物聯網測試過程所涉及的物聯網設備、韌體版本、檔案封存,並至少保存 1 年,確保送測物聯網設備及其韌體版本之正確性,不受竄改與損壞。於有抽測之必要時,制度推動暨驗證機構得請測試實驗室提供測試實驗室封存之物聯網測試過程所涉及的原始物聯網設備、韌體版本、檔案資料。
4. 申請機構費用原則
4.1.申請機構所報之測試費用,應符合透明、公平之原則。
4.2.測試費用依物聯網目的事業主管機關與其委託單位發布之最新版各類型物聯網設備資安標準與測試規範,所定義之測試等級及其對應測試項目,由各申請機構公告並收取之。
4.3.申請機構通知申請者未符合規定時,應列舉不符合事項並通知申請者改善,改善之通知方式及收費機制由申請機構自訂。
5. 智慧財產歸屬
5.1.申請機構授權制度推動暨驗證機構得因於認證、抽驗或其他相類似作業之需要,無償使用該申請機構所交付之文件或物品。
5.2.除非雙方另有書面約定,凡在申請機構於申請之前即已存在的智慧財產不受本文件的影響。
6. 違約處理
6.1.除本規章有特別規定外,申請機構或測試實驗室若有違約情事時,情節輕微者,制度推動暨驗證機構得以書面通知其於一個月內改善完成,若有特殊原因,得延長一個月。
6.2.前條違反情事若屆期仍未改善,且屬情節重大者,制度推動暨 驗證機構得註銷實驗室之登錄並通知認證機構撤銷其認證證書。
6.3.申請機構或測試實驗室有下列情事之一者,制度推動暨驗證機構得註銷實驗室之登錄並通知認證機構撤銷其認證證書:
a. 填報申請資料虛偽不實者。
b. 運作違反相關法令規定者。
c. 出具不實證書或相同用途之文件。
d. 作不當聲明或使用致制度推動暨驗證機構陷於爭議者。
e. 逾越合格證書內容,或其他違反制度推動暨驗證機構之規定,情節重大者。
7. 申訴與紛爭處理程序
申請機構,應建立測試事項之申訴與紛爭處理程序,並受理測試事項之申訴與爭議案件。
8. 保密義務
8.1.申請機構對申請者提供之資料及相關資訊應提供合理之保密措施。除執行業務人員因提供或辦理物聯網設備資安測試服務,而有必要知悉者外,申請機構均不得使用、披露或複製機密資料,且均不得將機密資料移做他用。
8.2.機密資訊之保密程序,應於其申請機構之營運規章制定。
8.3. 前條所稱機密資料不包括以下情形之任何資訊:
a. 申請者所提供當時已公開或之後非因申請機構之過失而公開者。
b. 申請機構合法自不須對申請者負任何保密義務之第三者取得者。
c. 申請者提供之前,已為申請機構所持有,並有書面紀錄證明者。
d. 申請機構之員工獨立發展,未以任何方式參考機密資料,並有書面紀錄證明者。
e. 因法令或政府機關要求而提供者。
8.4. 本文件之任何一方對於下列資訊得自由決定是否告知他方:
a.由第三人處得知之他方保密資訊。
b.認證適用之法令、技術規則或技術標準。 c.法令所規定認證機構應公開之資訊。
9. 責任
9.1. 申請機構或測試實驗室如有濫用認證機構所發認證之情事,致制度推動暨驗證機構遭受損害時,應對制度推動暨驗證機構負損害賠償責任。
9.2. 雙方對可歸責於己之事由所致任何第三人之損害應自行負擔全部責任。
9.3. 本文件之任何一方得知有任何事件可能造成上述賠償請求時應立即通知他方,並應以任何可能之方法防止損害之發生及擴大。
10. 其他
10.1.本規章以中華民國法律為準據法,並以臺灣臺北地方法院為第
一審管轄法院。
10.2.如仍有未盡事宜,得由雙方另行協議補充訂定之。
(以下空白)
申請機構印鑑 | 申請機構負責人簽名或蓋章 |