委外相關法規

「資通安全責任等級分級辦法」限制使用危害國家資通安全產品

在110年8月23日修訂「資通安全責任等級分級辦法」之前的版本,是將限制使用危害國家資通安全產品列入各級機關應辦事項。不過。在110年8月23日行政院院臺護字第1100182012號令,已將該辦法的附表一至八的各等級機關應辦事項移除相關要求。雖然如此,仍應遵循108年4月18日已訂定的「各機關對危害國家資通安全產品限制使用原則」,本原則所稱危害國家資通安全產品,指對國家資通安全具有直接或間接造成危害風險,影響政府運作或社會安定之資通系統或資通服務。各機關除因業務需求且無其他替代方案外,不得採購及使用。

大陸廠牌之定義

從前面案例了解大陸品牌的資通訊產品極具資安風險,所有屬大陸廠牌者,無論其原產地於我國、大陸地區或第三地區等,均列入限制使用範圍。

行政院在2020年原本要列出禁止採購清單,最後沒有所謂的資安黑名單。但為了避免機敏公務資訊外洩造成資通安全危害風險,行政院已要求各機關於110年底前完成汰換所使用或採購大陸品牌資通訊產品。另外,在經濟部投資審議委員會可查詢陸資資訊產業、陸資來台投資事業,這些業者在台灣生產銷售的資通訊產品是否被認定屬大陸廠牌而限制使用仍未明確,原則上建議盡量避免購置。

數位發展部修正各機關對危害國家資通安全產品限制使用原則

(一) 強化資安管理措施,例如:設定高強度密碼、禁止遠端維護等。

(二) 產品遇資安攻擊導致顯示畫面遭置換,應立即置換靜態畫面,或立即關機。

(三) 產品若為硬體,應確認其不具WiFi等持續連網功能(非僅以軟體關閉)。若需以外接裝置方式進行更新,須有專人在旁全程監督,於傳輸完成後立即移除外接裝置。

(四)產品使用屆期後不得再購買危害國家資通安全產品。

依據「資通安全管理法常見問題」8.7說明:

為使政府機關於建置或使用雲端服務時,降低可能之風險,相關資安要求事項如下:

(一) 應禁止使用大陸地區(含香港及澳門地區)廠商之雲端服務運算提供者。

(二) 提供機關雲端服務所使用之資通訊產品(含軟硬體及服務)不得為大陸廠牌,執行委外案之境內團隊成員(含分包廠商)亦不得有陸籍人士參與,就境外雲端服務之執行團隊成員,至少應具備相關國際標準之人員安全管控機制,並通過驗證。另,雲端服務提供者自行設計之白牌設備暫不納入限制。

(三) 機關應評估機敏資料於雲端服務之存取、備份及備援之實體所在地不得位於大陸地區(含香港及澳門地區),且不得跨該等境內傳輸相關資料。

各機關對危害國家資通安全產品限制使用原則」在111年11月28日的修訂版本增加了下列規定:各機關自行或委外營運,提供公眾活動或使用之場地,不得使用大陸廠牌資通訊產品。應將規定事項納入委外契約或場地使用規定中,並督導辦理。