禁⽌使⽤及採購「⼤陸廠牌資通訊產品」相關規定
禁⽌使⽤及採購「⼤陸廠牌資通訊產品」相關規定
危害國家資通安全產品限制使⽤原則
⼀、依據⾏政院112年6⽉20⽇院授數資安字第1121000202號函說明,重申各公務機關使⽤資通訊產品原則:
(⼀)依⾏政院秘書⻑109年12⽉18⽇院臺護⻑字第1090201804A號函規定,禁⽌使⽤及採購⼤陸廠牌資通訊產品(含軟體、硬體及服務)。
(⼆)若因業務需求且無其他替代⽅案,仍需使⽤危害國家資通安全產品時,應具體敘明理
由,並經機關資通安全⻑及其上級機關資通安全⻑逐級核可,函報資通安全管理法主管機關(數位發展部)核定,產品未汰換前,應加強下列資安強化措施:
1. 強化資安管理措施,例如:設定⾼強度密碼、禁⽌遠端維護等。
2. 產品遇資安攻擊導致顯⽰畫⾯遭置換,應立即置換靜態畫⾯,或立即關機。
3.
產品若為硬體,應確認其不具WiFi等持續連網功能(非僅以軟體關閉)。若需以外接裝置⽅式進⾏更新,須有專⼈在旁全程監督,於傳輸完成後立即移除外接裝置。
4. 產品使⽤屆期後不得再購買危害國家資通安全產品。
(三)各機關辦理採購案時,應注意以下事項:
1.
參考⾏政院公共⼯程委員會採購範本投標須知範本第16點,廠商所供應標的(含⼯程、財物及勞務)之原產地不允許⼤陸地區,以及資訊服務採購契約範本第8條第24款,如採購案內涉資通訊軟體、硬體或服務等相關事務,機關可要求廠商執⾏本案之團隊成員不得為陸籍⼈⼠,並不得提供及使⽤⼤陸廠牌資通訊產品。
2.
各機關⾃⾏或委外營運,提供公眾活動或使⽤之場地,不得使⽤危害國家資通安全產品,且應將相關限制事項納入委外契約或場地使⽤規定中。
⼆、請各單位於辦理採購時,務必依「⼤陸廠牌資通訊產品及委外經營公眾場域盤點原則」查證,勿採購⼤陸廠牌資通訊產品。
三、建議多利⽤共同供應契約採購相關設備,避免採購⼤陸廠牌資通訊產品。
常⾒⼤陸廠牌
⾏政院未提供相關設備清單(詳如下⽅常⾒問答),以下廠牌僅供參考,包括但不限於:
杭州海康威視(Hikvision)、華為(Huawei)、深圳⼤疆創新科技公司(DJI)、普聯技術公司(TP-Link)、廣東歐加控股公司/廣東⾏動通訊公司(OPPO)、⼩米集團(MI)、浙江
⼤華技術公司(Dahua)等。
「陸資廠商」是否禁⽌使⽤?
依據⾏政院秘書⻑110年8⽉11⽇院臺護⻑字第1100181360A號函說明,第三地區含陸資成分廠商及在臺陸資廠商,原則不列入盤點及汰換範圍;
惟請各機關於辦理採購案時,如屬經濟部投資審議委員會公告之「具敏感性或國安(含資安)疑慮之業務範疇」,應確實於招標文件中載明不允許經濟部投資審議委員會公告之陸資資訊服務業者參與。
例如:聯想集團(Lenovo)
⼤陸廠牌資通訊產品盤點原則
⼀、盤點範圍:全機關,非僅機關內部資訊單位或特定單位。
⼆、「⼤陸廠牌認定⽅式」及「資通訊產品定義」:
1.
⼤陸廠牌認定⽅式:由填報機關「從嚴認定」,所有屬⼤陸廠牌者,無論其原產地於我國、⼤陸地區或第三地區等,渠等產品均須納入。
2.
資通訊產品定義:參考資通安全管理法第3條⽤詞定義,包含軟體、硬體及服務等,另具連網能⼒、資料處理或控制功能者皆屬廣義之資通訊產品,如無⼈機、網路攝影機、印表機等。
3.
各機關若無法於期限內完成汰換或有窒礙難⾏之處,須填報正當理由,後續由資通安全署協助評估其妥適性或其他可⾏作法。
三、盤點標的參考原則:
盤點對象 |
盤點範圍 |
盤點標的 |
判斷是否納入盤點及汰換作業 |
公務機關、委外廠商(含分包廠商)
|
硬體
|
無論是否具有連網能⼒、資料處理或控制 功能之資通訊設備皆屬盤點及汰換範圍。 如:個⼈電腦、伺服器、無⼈機、印表 機、網路通訊設備、可攜式設備及物聯網 設備等。 |
1. 如硬體設備係透過共同供應契約採購者,原則不列入盤點及汰換範圍。 2. 辦理採購: 1. 請原廠/代理商提供廠牌證明文件。 2. 透過網路或相關可⾏管道查證其是否為⼤陸廠牌。 |
軟體及服務 |
·
非客製化軟體/系統:如原廠(官⽅)提供之套裝軟 體、開發⼯具或作業系統等。 ·
客製化軟體/系統:如⾃⾏或委外開發之應⽤軟體、系統軟體或APP等。 ·
⼈⼒資源 ·
網站及APP所提供的服務 ·
雲端服務 ·
電話諮詢 ·
其他類型服務 |
1. ⾃⾏下載: 應確保軟體或元件確實由原廠(官⽅)網站下載,如原廠(官⽅)為⼤陸廠牌者,應納入盤點及汰換。 2. ⾃⾏開發: 應確保開發環境、⼯具及套件等係由原廠(官⽅)網站下載,或是透過採購取得,並分別依第⼀項及第三項辦理盤點及汰換作業。 3. 辦理採購: 1. 透過共同供應契約採購者,原則無須盤點及汰換。 2. 機關⾃⾏辦理採購非客製化軟體/系統者,請原廠/代理商提供廠牌證明文件。 4. 委外開發: 1. 如使⽤原廠(官⽅)網站下載之軟體或元件,請委外廠商辦理前揭第⼀項作業,並提供說明及切結文件。 2. 如使⽤非客製化軟體/系統者,委外廠商應提供原廠/代理商之廠牌證明文件。 |
限制對外出租場域使⽤⼤陸廠牌資通訊產品
⼀、於學校 委外契約 或 場地租借使⽤規定,應明訂不得使⽤⼤陸廠牌資通訊產品。
⼆、針對現有委外契約,應協調廠商配合辦理或修正契約規定。
廠商切結書
機關對於可能選任之受託者及其所供應之財物 (軟體設備) 或勞務之資料存取、儲存、備份及備援等作業,其實體設備所在地及資料傳輸是否跨境等相關議題,得要求其以書⾯⽅式揭露,並納入選任評估參考 。
資料所在地及跨境傳輸切結書(下載)
常⾒問題
Q:有關「限制使⽤危害國家資通安全產品」是否會提供相關清單?此外,在未公布清單前是否有相關參考作法 ?
A:
⼀、考量危害國家資通安全產品由主管機關核定廠商清單效益有限,後續將由主管機關透過跨部會協調平臺與各機關溝通,推動危害國家資通安全產品之限制使⽤事宜 。
⼆、現階段係請各公務機關依本院秘書⻑109年12⽉18⽇院臺護⻑字第1090201804A號函,禁⽌使⽤及採購⼤陸廠牌資通訊產品(含軟體、硬體及服務),其相關注意事項如下:
1. ⼤陸廠牌:指本院公共⼯程委員會 107年 12⽉ 20⽇⼯程企字第 1070050131號函所稱
「⼤陸地區廠商」,⾄於「第三地區含陸資成分廠商」及「在臺陸資廠商」原則非屬上述範圍,惟各機關於辦理採購案時,如屬經濟部投資審議委員會公告「具敏感性或國安含資安疑慮之業務範疇」,應確實於招標文件中載明不允許經濟部投資審議委員會公告之陸資資訊服務業者參與。
2.
陸籍⼈⼠:指委外廠商執⾏標案之團隊成員,其現⾏國籍不得為中國⼤陸國籍 。另,針對多重國籍部分,如其⼀國籍屬中國⼤陸國籍亦屬限制範圍
;此外,針對香港國籍及澳
⾨國籍⼈⼠非屬上述限制範圍 。
3.
考量實務執⾏問題,現⾏僅限制其最終資通訊產品不可為⼤陸廠牌,暫未限制⼤陸廠牌零組件。
4.
各機關辦理資通訊相關採購,得依個案特性及實際需要於採購文件中評估限制委外廠商及其分包廠商不得提供⼤陸地區廠商所Th產或製造零組件。