限制使用危害國家資通安全產品

一、依「各機關對危害國家資通安全產品限制使用原則」(111年11月28日修正),本原則所稱危害國家資通安全產品,指對國家資通安全具有直接或間接造成危害風險,影響政府運作或社會安定之資通系統或資通服務。

各機關必須採購或使用前點第一項所定之廠商產品及產品時,應具體敘明理由,經機關資通安全長(以下簡稱資安長)及其上級機關資安長逐級核可,函報本法主管機關核定後,以專案方式購置。


二、依據行政院112年6月20日院授數資安字第1121000202號函說明,重申各公務機關使用資通訊產品原則:

(一)公務用資通訊產品(含軟體、硬體及服務)不得使用大陸廠牌。

(二)若因業務需求且無其他替代方案,仍需使用危害國家資通安全產品時,應具體敘明理由, 並經機關資通安全長及其上級機關資通安全長逐級核可,函報資通安全管理法主管機關(數位發展部) 核定,產品未汰換前,應加強下列資安強化措施:

1.強化資安管理措施,例如:設定高強度密碼、禁止遠端維護等。

2.產品遇資安攻擊導致顯示畫面遭置換,應立即置換靜態畫面,或立即關機。

3.產品若為硬體,應確認其不具WiFi等持續連網功能(非僅以軟體關閉)。若需以外接裝置方式進行更新,須有專人在旁全程監督,於傳輸完成後立即移除外接裝置。

 4.產品使用屆期後不得再購買危害國家資通安全產品。


三、限制對外出租場域使用大陸廠牌資通訊產品

(一)學校委外契約或場地租借使用規定,應明訂不得使用大陸廠牌資通訊產品。

(二)出租場域使用之產品遇資安攻擊導致顯示畫面遭置換,應立即置換靜態畫面或立即關機,並通報本校電算中心。

 

教育部所屬機關(構)、公立學校所設置具行動支付販賣機建議應以臺製機種為優先採用設備,優先汰換大陸廠牌機種設備,及配合行政院所訂資安法及作業規範,持續強化資訊安全,以避免發生資安危害事件。

常見問題   (資料來源:數位發展部資通安全署)


資通安全管理法常見問題」8.6說明:

有關「限制使用危害國家資通安全產品」是否會提供相關清單?此外,在未公布清單前是否有相關參考作法 ?

(一)大陸廠牌:指本院公共工程委員會 107年 12月 20日工程企字第 1070050131號函所稱「大陸地區廠商」,至於「第三地區含陸資成分廠商」及「在臺陸資廠商」原則非屬上述範圍,惟各機關於辦理採購案時,如屬經濟部投資審議委員會公告「具敏感性或國安含資安疑慮之業務範疇」,應確實於招標文件中載明不允許經濟部投資審議委員會公告之陸資資訊服務業者參與。

(二)陸籍人士:指委外廠商執行標案之團隊成員,其現行國籍不得為中國大陸國籍 。另,針對多重國籍部分,如其一國籍屬中國大陸國籍亦屬限制範圍 ;此外,針對香港國籍及澳門國籍人士非屬上述限制範圍 。

(三)考量實務執行問題,現行僅限制其最終資通訊產品不可為大陸廠牌,暫未限制大陸廠牌零組件。

(四)各機關辦理資通訊相關採購,得依個案特性及實際需要於採購文件中評估限制委外廠商及其分包廠商不得提供大陸地區廠商所生產或製造零組件。


資通安全管理法常見問題」8.7說明:

為使政府機關於建置或使用雲端服務時,降低可能之風險,相關資安要求事項如下:

(一)應禁止使用大陸地區(含香港及澳門地區)廠商之雲端服務運算提供者。

(二)提供機關雲端服務所使用之資通訊產品(含軟硬體及服務)不得為大陸廠牌,執行委外案之境內團隊成員 (含分包廠商)亦不得有陸籍人士參與,就境外雲端服務之執行團隊成員,至少應具備相關國際標準之人員 安全管控機制,並通過驗證。另,雲端服務提供者自行設計之白牌設備暫不納入限制。

(三)機關應評估機敏資料於雲端服務存取、備份及備援之實體所在地不得位於大陸地區(含香港及澳門地區),且不得跨該等境內傳輸相關資料。

大陸廠牌資通訊產品盤點

一、盤點範圍 : 全機關。

二、資通訊產品盤點標的 : 參考資通安全管理法第3條用詞定義,包含軟體、硬體及服務等,另具連網能力、資料處理或控制功能者皆屬廣義之資通訊產品。

(一)硬體 :  如個人電腦、伺服器、無人機、印表機、網路通訊設備、可攜式設備及物聯網設備等。

(二)軟體及服務 :  

1.非客製化軟體/系統:如原廠(官方)提供之套裝軟體、開發工具或作業系統等。

2.客製化軟體/系統:如自行或委外開發之應用軟體、系統軟體或APP等。

3.人力資源

4.網站及APP所提供的服務

5.雲端服務

6.電話諮詢

7.其他類型服務


國立臺灣藝術大學 電子計算機中心