請採購注意事項
財務總務人事研管作業系統請購審查要點
類別為「電腦與資訊類」審核流程增加資安組審查,審查要點如下:
一、考量危害國家資通安全產品由主管機關核定廠商清單效益有限,後續將由主管機關透過跨部會協調平臺與各機關溝通,推動危害國家資通安全產品之限制使用事宜 。
二、現階段係請各公務機關依行政院秘書長109年12月18日院臺護長字第1090201804A號函,禁止使用及採購大陸廠牌資通訊產品(含軟體、硬體及服務),其相關注意事項如下:
大陸廠牌:指行政院公共工程委員會 107年 12月 20日工程企字第 1070050131號函所稱「大陸地區廠商」,至於「第三地區含陸資成分廠商」及「在臺陸資廠商」原則非屬上述範圍,惟各機關於辦理採購案時,如屬經濟部投資審議委員會公告「具敏感性或國安含資安疑慮之業務範疇」,應確實於招標文件中載明不允許經濟部投資審議委員會公告之陸資資訊服務業者參與。
陸籍人士:指委外廠商執行標案之團隊成員,其現行國籍不得為中國大陸國籍 。另,針對多重國籍部分,如其一國籍屬中國大陸國籍亦屬限制範圍 ;此外,針對香港國籍及澳門國籍人士非屬上述限制範圍 。
考量實務執行問題,現行僅限制其最終資通訊產品不可為大陸廠牌,暫未限制大陸廠牌零組件。
各機關辦理資通訊相關採購,得依個案特性及實際需要於採購文件中評估限制委外廠商及其分包廠商不得提供大陸地區廠商所生產或製造零組件。
網站服務必備資安機制
經113.01.17第三次網頁管理小組會議通過,網站委外建置及維護合約需納入資安條款如下:
服務中斷救援 (乙方應於接獲甲方通知故障之日起1個工作日內進行修護)
資料備份機制 (公版每日凌晨備份,保存最近7日備份檔,非公版應要求)
弱點掃描 (資安組每年協助二次)
漏洞修補 (修復時程為一週內修復Critical、二週內修復High風險問題。)
安全憑證 (由學校提供SSL憑證,於維護保固範圍內委外廠商提供免費安裝)
滲透測試 (上線前一次模擬駭客滲透測試)
合約內資安條款範本
一、資訊安全
(一) 得標廠商應遵守資通安全管理法及其施行細則等6子法規定,及行政院所頒定之各項資訊安全規範及標準,並遵守本校資訊安全管理及保密相關規定。此外本校保有對得標廠商執行稽核的權利,廠商須配合本校進行資訊安全管理系統驗證相關事項。
(二) 系統傳送過程中,應配合SSL之建置,透過HTTPS對資料進行加解密,以確保資料傳送安全。個人電腦與伺服器間,不得使用目錄分享(網路磁碟機)方式傳送檔案。
(三) 依「資通安全責任等級分級辦法 附表九、資通系統防護需求分級原則」,本案新建置之資通系統等級為「中」,應符合「資通系統防護基準查檢表(中級)」之規範(排除事項除外);得標廠商需依上述規範進行建置。
(四) 系統必須防止資料隱碼(SQL Injection)、Cross Site Scripting(XSS) 等攻擊與防止使用者在網址列輸入網址及帶參數方式以別的使用者帳號進入系統網頁破壞、新增、修改、刪除、查詢及列印系統任何資料。
(五) 本專案範圍之系統網站(前、後台),需配合本校以商用弱點掃描軟體進行弱點掃描,並由得標廠商根據弱掃報告進行中級以上漏洞之修補,再由本校執行複掃作業,確認沒有中級以上風險,才得以交付。另外,上線前需進行一次遠端滲透測試,若有滲透風險,需於交付前完成所有修復,並提交複測報告。本系統若經本校資安委員會評定為本校核心系統,則得標廠商需配合於維護期內每兩年進行一次遠端滲透測試並於修復後繳交測試報告,降低XSS、SQL Injection等資安風險。
(六) 系統資料應定期備份並依週期性保存備份檔以避免遭受資安攻擊(如勒索)時進行復原作業用。