5. 甲金融機構(屬資通安全管理法 規範對象)於本開發案起案前對於受託者之選任作業，下列 何者最「不」適切？
(A) 確認受託者配置充足且經適當之資格訓練之人員執行 受託業務
(B) 確認受託者擁有 ISO 9001 專業證照
(C) 確認受託者具有類似業務經驗之資通安全專業人員
(D) 確認受託者具備完善之資通安全管理措施

總結

依據《資通安全管理法施行細則》第四條之規定，受託者必須：

1. 具備完善之資通安全管理措施；

2. 配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員。

條文並未要求受託者持有 ISO 9001（品質管理系統）認證，故選項 (B) 確認受託者擁有 ISO 9001 專業證照 為最「不」適切之作法。 (六法全書)

各選項解析

(A) 確認受託者配置充足且經適當之資格訓練之人員執行受託業務

此項符合細則第二款所述：「受託者應配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員。」

(B) 確認受託者擁有 ISO 9001 專業證照

• 細則要求的是「資通安全專業證照」──通常指 ISO 27001 等資訊安全管理體系認證或專業資安證照，如 CISSP、CISM 等；並不涵蓋品質管理系統證照。

• ISO 9001 為品質管理系統（QMS）國際標準，重點在流程與品質一致性，並非專為資訊安全設計。 (BSI)

• 若須資訊安全專業驗證，應參考 ISO 27001（資訊安全管理系統）等標準，而非 ISO 9001。 (BSI) (財團法人台灣網路資訊中心部落格 | TWNIC Blog)

(C) 確認受託者具有類似業務經驗之資通安全專業人員

此項符合細則第二款同一條文：「…或具有類似業務經驗之資通安全專業人員。」

(D) 確認受託者具備完善之資通安全管理措施

此項符合細則第一款：「受託者辦理受託業務之相關程序及環境，應具備完善之資通安全管理措施或通過第三方驗證。」
同時，完善之資通安全管理措施即資訊安全管理體系（ISMS），例如 ISO 27001 所涵蓋的事前預防、事中偵測、事後應變等全面性框架。 (SGS Taiwan)

結論

唯一不符《資通安全管理法施行細則》選任受託者原則的是 (B)，因為 ISO 9001 並非資訊安全專業證照，故最不適切。