危害國家資通安全產品限制使用原則
一、依據行政院112年6月20日院授數資安字第1121000202號函說明,重申各公務機關使用資通訊產品原則:
(一)依行政院秘書長109年12月18日院臺護長字第1090201804A號函規定,禁止使用及採購大陸廠牌資通訊產品(含軟體、硬體及服務)。
(二)若因業務需求且無其他替代方案,仍需使用危害國家資通安全產品時,應具體敘明理由,並經機關資通安全長及其上級機關資通安全長逐級核可,函報資通安全管理法主管機關(數位發展部)核定,產品未汰換前,應加強下列資安強化措施:
- 強化資安管理措施,例如:設定高強度密碼、禁止遠端維護等。
- 產品遇資安攻擊導致顯示畫面遭置換,應立即置換靜態畫面,或立即關機。
- 產品若為硬體,應確認其不具WiFi等持續連網功能(非僅以軟體關閉)。若需以外接裝置方式進行更新,須有專人在旁全程監督,於傳輸完成後立即移除外接裝置。
- 產品使用屆期後不得再購買危害國家資通安全產品。
- 參考行政院公共工程委員會採購範本投標須知範本第16點,廠商所供應標的(含工程、財物及勞務)之原產地不允許大陸地區,以及資訊服務採購契約範本第8條第24款,如採購案內涉資通訊軟體、硬體或服務等相關事務,機關可要求廠商執行本案之團隊成員不得為陸籍人士,並不得提供及使用大陸廠牌資通訊產品。
- 各機關自行或委外營運,提供公眾活動或使用之場地,不得使用危害國家資通安全產品,且應將相關限制事項納入委外契約或場地使用規定中。
- 大陸廠牌認定方式:由填報機關「從嚴認定」,所有屬大陸廠牌者,無論其原產地於我國、大陸地區或第三地區等,渠等產品均須納入。
- 資通訊產品定義:參考資通安全管理法第3條用詞定義,包含軟體、硬體及服務等,另具連網能力、資料處理或控制功能者皆屬廣義之資通訊產品,如無人機、網路攝影機、印表機等。
- 各機關若無法於期限內完成汰換或有窒礙難行之處,須填報正當理由,後續由資通安全署協助評估其妥適性或其他可行作法。
(三)各機關辦理採購案時,應注意以下事項:
1.請各單位於辦理採購時,務必依「大陸廠牌資通訊產品及委外經營公眾場域盤點原則」查證,勿採購大陸廠牌資通訊產品。
2.建議多利用共同供應契約採購相關設備,避免採購大陸廠牌資通訊產品。
常見大陸廠牌
行政院未提供相關設備清單(詳如下方常見問答),以下廠牌僅供參考,包括但不限於:杭州海康威視(Hikvision)、華為(Huawei)、深圳大疆創新科技公司(DJI)、普聯技術公司(TP-Link)、廣東歐加控股公司/廣東行動通訊公司(OPPO)、小米集團(MI)、浙江大華技術公司(Dahua)等。
「陸資廠商」是否禁止使用?
依據行政院秘書長110年8月11日院臺護長字第1100181360A號函說明,第三地區含陸資成分廠商及在臺陸資廠商,原則不列入盤點及汰換範圍;惟請各機關於辦理採購案時,如屬經濟部投資審議委員會公告之「具敏感性或國安(含資安)疑慮之業務範疇」,應確實於招標文件中載明不允許經濟部投資審議委員會公告之陸資資訊服務業者參與。
例如:聯想集團(Lenovo)
大陸廠牌資通訊產品盤點原則
一、盤點範圍:全機關,非僅機關內部資訊單位或特定單位。
二、「大陸廠牌認定方式」及「資通訊產品定義」:
三、盤點標的參考原則:
| 盤點對象 | 盤點範圍 | 盤點標的 | 判斷是否納入盤點及汰換作業 |
|---|---|---|---|
限制對外出租場域使用大陸廠牌資通訊產品
一、於學校委外契約或場地租借使用規定,應明訂不得使用大陸廠牌資通訊產品。
二、針對現有委外契約,應協調廠商配合辦理或修正契約規定。
廠商切結書
機關對於可能選任之受託者及其所供應之財物 (軟體設備) 或勞務之資料存取、儲存、備份及備援等作業,其實體設備所在地及資料傳輸是否跨境等相關議題,得要求其以書面方式揭露,並納入選任評估參考 。
常見問題
Q:有關「限制使用危害國家資通安全產品」是否會提供相關清單?此外,在未公布清單前是否有相關參考作法 ?
A:
一、考量危害國家資通安全產品由主管機關核定廠商清單效益有限,後續將由主管機關透過跨部會協調平臺與各機關溝通,推動危害國家資通安全產品之限制使用事宜 。
二、現階段係請各公務機關依本院秘書長109年12月18日院臺護長字第1090201804A號函,禁止使用及採購大陸廠牌資通訊產品(含軟體、硬體及服務),其相關注意事項如下: