Embedded Files
財務總務人事研管作業系統請購審查要點
類別為「電腦與資訊類」審核流程增加資訊處審查,審查要點如下:
一、考量危害國家資通安全產品由主管機關核定廠商清單效益有限,後續將由主管機關透過跨部會協調平臺與各機關溝通,推動危害國家資通安全產品之限制使用事宜 。
二、現階段係請各公務機關依行政院秘書長109年12月18日院臺護長字第1090201804A號函,禁止使用及採購大陸廠牌資通訊產品(含軟體、硬體及服務),其相關注意事項如下:
大陸廠牌:指行政院公共工程委員會 107年 12月 20日工程企字第 1070050131號函所稱「大陸地區廠商」,至於「第三地區含陸資成分廠商」及「在臺陸資廠商」原則非屬上述範圍,惟各機關於辦理採購案時,如屬經濟部投資審議委員會公告「具敏感性或國安含資安疑慮之業務範疇」,應確實於招標文件中載明不允許經濟部投資審議委員會公告之陸資資訊服務業者參與。
陸籍人士:指委外廠商執行標案之團隊成員,其現行國籍不得為中國大陸國籍 。另,針對多重國籍部分,如其一國籍屬中國大陸國籍亦屬限制範圍 ;此外,針對香港國籍及澳門國籍人士非屬上述限制範圍 。
考量實務執行問題,現行僅限制其最終資通訊產品不可為大陸廠牌,暫未限制大陸廠牌零組件。
各機關辦理資通訊相關採購,得依個案特性及實際需要於採購文件中評估限制委外廠商及其分包廠商不得提供大陸地區廠商所生產或製造零組件。
網站服務必備資安機制
經113.01.17第三次網頁管理小組會議通過,網站委外建置及維護合約需納入資安條款如下:
服務中斷救援 (乙方應於接獲甲方通知故障之日起1個工作日內進行修護)
資料備份機制 (公版每日凌晨備份,保存最近7日備份檔,非公版應要求)
弱點掃描 (上線前請廠商自行進行一次並提交報告,後續得配合校內弱掃作業及修補)
漏洞修補 (修復時程為一週內修復Critical、二週內修復High風險問題。)
安全憑證 (必須安裝SSL憑證,於維護保固範圍內委外廠商提供安裝)
合約內資安條款範本
一、資訊安全
(一) 得標廠商應遵守資通安全管理法及其施行細則等子法規定,及行政院所頒定之各項資訊安全規範及標準,並遵守本校資訊安全管理及保密相關規定。此外本校保有對得標廠商執行稽核的權利,廠商須配合本校進行資訊安全管理系統驗證相關事項。
(二) 系統傳送過程中,應配合SSL之建置,透過HTTPS對資料進行加解密,以確保資料傳送安全。個人電腦與伺服器間,不得使用目錄分享(網路磁碟機)方式傳送檔案。
(三) 依「資通安全責任等級分級辦法 附表九、資通系統防護需求分級原則」,本案新建置之資通系統等級為「中」,應符合「資通系統防護基準查檢表(中級)」之規範(排除事項除外);得標廠商需依上述規範進行建置。【此項之資通系統等級「中」為範例,請依實際評估。】
(四) 系統必須防止資料隱碼(SQL Injection)、Cross Site Scripting(XSS) 等攻擊與防止使用者在網址列輸入網址及帶參數方式以別的使用者帳號進入系統網頁破壞、新增、修改、刪除、查詢及列印系統任何資料。
(五) 本專案範圍之系統網站(前、後台),需用商用弱點掃描軟體進行弱點掃描,並由得標廠商根據弱掃報告進行高級(含)以上漏洞之修補,確認沒有高級以上風險,才得以交付。另外,上線前需進行一次遠端滲透測試,若有滲透風險,需於交付前完成所有修復,並提交複測報告。本系統若經評定為本校核心系統(即資通系統等級「高」),則得標廠商需配合於維護期內每兩年進行一次遠端滲透測試並於修復後繳交測試報告,降低XSS、SQL Injection等資安風險。【紅字部分為資通系統等級「高」所要求事項】
(六) 系統資料應定期備份並依週期性保存備份檔以避免遭受資安攻擊(如勒索)時進行復原作業用。
依據《資通安全管理法》及其相關子法規定,公務機關及特定非公務機關應依所屬資通系統之性質、重要性及可能影響程度,採取適當之資訊安全防護措施。為協助各機關於本法適用範圍內,辨識不同資通系統之防護需求,並據以規劃相應之防護等級與管理措施,爰訂定資通系統防護需求分級原則,作為各機關進行系統分級與資安管控之依循依據。
依據資通安全管理法(以下簡稱本法)第九條規定,公務機關及特定非公務機關於辦理資通系統委外建置、維運或資通服務時,應對受託廠商之資訊安全管理能力進行適當之評估與監督。為協助各單位於委外作業中掌握廠商之資安管理現況,爰訂定委外廠商資訊安全自評表,作為蒐集廠商資訊安全措施落實情形之評估依據。
本自評表係透過廠商自行填報其資訊安全管理作為與執行情形,供本校進行初步資安風險評估之參考;後續並得視廠商自評結果及風險程度,評估是否安排實地資訊安全稽核或相關查核作業,以確保委外資通系統及服務之資訊安全符合相關規範要求。
依據《資通安全責任等級分級辦法》第 11 條規定,各機關自行或委外開發之資通系統,應依附表九完成防護需求分級,並依附表十執行相應之防護控制措施。為利於高風險或重要資通系統之防護措施規劃與管理,本校爰針對防護等級評估為「高」或系統開發金額達新臺幣一千萬元以上之資通系統,訂定資通系統風險評估報告,作為風險分析與防護措施選擇之依據。
依據《資通安全責任等級分級辦法》第 11 條規定,各機關自行或委外開發之資通系統,應依附表九完成資通系統防護需求分級,並依附表十所定資通系統防護基準,於系統規劃、設計、開發、測試及上線等階段,納入相應之資訊安全控制措施。爰不論系統防護等級為「普」、「中」或「高」,其系統開發過程均應遵循安全系統開發生命週期(SSDLC)之相關原則與要求。
考量不同防護等級系統之風險程度與管理複雜度差異,為提升作業效率並聚焦資安管控重點,本校於文件管理與佐證作業上採行分級管理方式,針對資通系統防護等級判定為「高」,或系統開發金額達新臺幣一千萬元以上之採購案件,要求填寫並檢附安全系統開發生命週期(SSDLC)檢核表;其餘防護等級系統,雖未強制檢附該檢核表文件,惟其開發與建置過程仍須依附表十之規定,落實相關 SSDLC 控制措施。
適任性查核同意書是簽署人同意接受機關進行背景調查的書面文件,目的是確保其從事機密業務的適任性。這通常發生在受託執行涉及國家機密或重要業務的專案時,同意書內容涵蓋是否曾觸犯洩密罪、受過行政懲處或受外力脅迫等事項。
委外廠商保密切結書是為了確保委外廠商及其人員在執行業務過程中,不會洩漏公司機密資訊的一份法律文件。其核心內容包括:要求廠商對所知悉的資訊嚴格保密,除已公開資訊外,非經同意不得向第三方披露;若違反保密義務導致損害,廠商將負擔法律責任。
Page updated
Report abuse