Embedded Files
委外辦理資通業務之相關法規
委外辦理資通業務之相關法規
委外辦理資通業務受託者之選任及監督
委外辦理資通業務受託者之選任及監督
依據行政院國家資通安全會報網站於109年11月24日公告之資通安全管理法常見問題(已改由數位發展部負責), 6.3說明有關「要求受託方具備完善的資通安全管理措施」或「通過第三方驗證」擇一即可。6.4進一步說明 「要求受託方具備完善的資通安全管理措施」,至少是遵行資通安全防護及控制措施之要求項目,並自行考量相關需求,納入招標評選項目。6.5更進一步建議 "完善" 管理措施也可以參考ISO 27001,並建議資安專職人員扮演統籌規劃角色。若要求受託方「通過第三方驗證」,6.6建議要查明廠商通過驗證範圍是否已涵蓋委外業務,並於招標文件敘明廠商仍應接受查核要求。
另外,6.9說明受託業務之執行程序及環境都在機關內就無須要求廠商具備前述兩項條件之一,但機關仍須針對採購進來的軟硬體採取必要的防護措施。
8.3特別說明PC維護案也屬於委外辦理資通服務,必須遵循前述要求辦理。
危害國家資通安全產品限制
危害國家資通安全產品限制
在110年8月23日修訂「資通安全責任等級分級辦法」之前的版本,是將限制使用危害國家資通安全產品列入各級機關應辦事項。不過。在110年8月23日行政院院臺護字第 1100182012 號令,已將該辦法的附表一至八的各等級機關應辦事項移除相關要求。雖然如此,仍應遵循108年4月18日已訂定的「各機關對危害國家資通安全產品限制使用原則」,本原則所稱危害國家資通安全產品,指對國家資通安全具有直接或間接造成危害風險,影響政府運作或社會安定之資通系統或資通服務。各機關除因業務需求且無其他替代方案外,不得採購及使用。所有屬大陸廠牌者,無論其原產地於我國、大陸地區或第三地區等,均列入限制使用範圍。
在110年8月23日修訂「資通安全責任等級分級辦法」之前的版本,是將限制使用危害國家資通安全產品列入各級機關應辦事項。不過。在110年8月23日行政院院臺護字第 1100182012 號令,已將該辦法的附表一至八的各等級機關應辦事項移除相關要求。雖然如此,仍應遵循108年4月18日已訂定的「各機關對危害國家資通安全產品限制使用原則」,本原則所稱危害國家資通安全產品,指對國家資通安全具有直接或間接造成危害風險,影響政府運作或社會安定之資通系統或資通服務。各機關除因業務需求且無其他替代方案外,不得採購及使用。所有屬大陸廠牌者,無論其原產地於我國、大陸地區或第三地區等,均列入限制使用範圍。
行政院在2020年原本要列出禁止採購清單,最後沒有所謂的資安黑名單。但為了避免機敏公務資訊外洩造成資通安全危害風險,行政院已要求各機關於110年底前完成汰換所使用或採購大陸品牌資通訊產品。另外,在經濟部投資審議委員會可查詢陸資資訊產業、陸資來台投資事業,這些業者在台灣生產銷售的資通訊產品是否被認定屬大陸廠牌而限制使用仍未明確,原則上建議盡量避免購置。
行政院在2020年原本要列出禁止採購清單,最後沒有所謂的資安黑名單。但為了避免機敏公務資訊外洩造成資通安全危害風險,行政院已要求各機關於110年底前完成汰換所使用或採購大陸品牌資通訊產品。另外,在經濟部投資審議委員會可查詢陸資資訊產業、陸資來台投資事業,這些業者在台灣生產銷售的資通訊產品是否被認定屬大陸廠牌而限制使用仍未明確,原則上建議盡量避免購置。
本校每個單位在執行購案時,資通訊產品必須要求廠商在簽約時提供無大陸製品(品牌)之切結書。(若是部分元件有陸製品,因難以逐一檢核,故不進行判定。)
本校每個單位在執行購案時,資通訊產品必須要求廠商在簽約時提供無大陸製品(品牌)之切結書。(若是部分元件有陸製品,因難以逐一檢核,故不進行判定。)
108年11月20日公共工程委員會發布「機關辦理涉及國家安全採購之廠商資格限制條件及審查作業辦法」,第二條規定機關辦理涉及國家安全之採購,其不適用我國締結之條約或協定者,得於招標文件對我國或外國廠商資格訂定限制條件(也就是對於大陸製品限制)。經濟部投資審議委員會公告陸資資訊,包含「具敏感性或國安(含資安)疑慮之業務範疇」,其中列入臺灣學術網路相關系統,本校為臺灣學術網路中部區網中心管理單位,相關採購將遵循此辦法規定,並要求投標廠商必須交付「投標廠商聲明書」(公共工程委員招標相關文件第21項範本)。
108年11月20日公共工程委員會發布「機關辦理涉及國家安全採購之廠商資格限制條件及審查作業辦法」,第二條規定機關辦理涉及國家安全之採購,其不適用我國締結之條約或協定者,得於招標文件對我國或外國廠商資格訂定限制條件(也就是對於大陸製品限制)。經濟部投資審議委員會公告陸資資訊,包含「具敏感性或國安(含資安)疑慮之業務範疇」,其中列入臺灣學術網路相關系統,本校為臺灣學術網路中部區網中心管理單位,相關採購將遵循此辦法規定,並要求投標廠商必須交付「投標廠商聲明書」(公共工程委員招標相關文件第21項範本)。
資訊服務採購案之資安檢核事項
資訊服務採購案之資安檢核事項
依據行政院秘書長110年7月13日院臺護長字第1100177483號函,要求各機關資通訊相關採購案,應參考公共工程委員會「投標須知範本」及「資訊服務採購契約範本」,落實「資訊服務採購案之資安檢核事項」相關要求。
資通系統籌獲各階段資安強化措施
資通系統籌獲各階段資安強化措施
行政院資通安全處111年5月26日院臺護字第1110174630號函,訂定資通系統籌獲需求、建置、維運各階段資安強化措施,說明委託機關依資通安全管理法施行細則第四條規定選任或監督受託者之相關行政流程及應注意事項。
委外辦理資通服務之管理措施
委外辦理資通服務之管理措施
Page updated
Report abuse