委外系統資安要求文件
財務總務人事研管作業系統請購
類別為「電腦與資訊類」審核流程增加資安組審查,審查要點如下:
一、考量危害國家資通安全產品由主管機關核定廠商清單效益有限,後續將由主管機關透過跨部會協調平臺與各機關溝通,推動危害國家資通安全產品之限制使用事宜 。
二、現階段係請各公務機關依行政院秘書長109年12月18日院臺護長字第1090201804A號函,禁止使用及採購大陸廠牌資通訊產品(含軟體、硬體及服務),其相關注意事項如下:
大陸廠牌:指行政院公共工程委員會 107年 12月 20日工程企字第 1070050131號函所稱「大陸地區廠商」,至於「第三地區含陸資成分廠商」及「在臺陸資廠商」原則非屬上述範圍,惟各機關於辦理採購案時,如屬經濟部投資審議委員會公告「具敏感性或國安含資安疑慮之業務範疇」,應確實於招標文件中載明不允許經濟部投資審議委員會公告之陸資資訊服務業者參與。
陸籍人士:指委外廠商執行標案之團隊成員,其現行國籍不得為中國大陸國籍 。另,針對多重國籍部分,如其一國籍屬中國大陸國籍亦屬限制範圍 ;此外,針對香港國籍及澳門國籍人士非屬上述限制範圍 。
考量實務執行問題,現行僅限制其最終資通訊產品不可為大陸廠牌,暫未限制大陸廠牌零組件。
各機關辦理資通訊相關採購,得依個案特性及實際需要於採購文件中評估限制委外廠商及其分包廠商不得提供大陸地區廠商所生產或製造零組件。
網站服務
經113.01.17第三次網頁管理小組會議通過,網站委外建置及維護合約需納入資安條款如下:
服務中斷救援 (乙方應於接獲甲方通知故障之日起1個工作日內進行修護)
資料備份機制 (公版每日凌晨備份,保存最近7日備份檔,非公版應要求)
弱點掃描 (資安組每年協助二次)
漏洞修補 (修復時程為一週內修復Critical、二週內修復High風險問題。)
安全憑證 (由學校提供SSL憑證,於維護保固範圍內委外廠商提供免費安裝)
滲透測試 (上線前一次模擬駭客滲透測試)