跳到主要內容區
諮詢電話:02-29387599 校內分機:67599

禁止使用及採購「大陸廠牌資通訊產品」相關規定

危害國家資通安全產品:指經主管機關認定,對國家資通安全具有直接或間接造成危害風險,影響政府運作或社會安定之資通系統、服務或產品。

 

危害國家資通安全產品限制使用規定

  • 公務機關不得下載、安裝或使用危害國家資通安全產品
  • 公務機關發配供業務使用之資通訊設備,不得下載、安裝或使用危害國家資通安全產品,並應遵守相關法令規範。
  • 其自行或委外營運場所提供公眾視聽或使用之傳播設備及網際網路接取服務,於維護資通安全之必要時,亦同。
     
  • 但因業務需求且無其他替代方案者
    經該機關資通安全長(本校副校長)及依第十四條規定收受其實施情形之機關(本校上級機關-教育部)資通安全長核可,函報主管機關(數位發展部)核定後,得以專案方式使用,並列冊管理。
     
  • 前述規定詳見資通安全管理法第11條規定(114年9月24日修正公布)

 

危害國家資通安全產品

  • 以下僅提供常見大陸廠牌以供參考,包括但不限於:
    杭州海康威視(Hikvision)、華為(Huawei)、深圳大疆創新科技公司(DJI)、普聯技術公司(TP-Link)、廣東歐加控股公司/廣東行動通訊公司(OPPO)、小米集團(MI)、浙江大華技術公司(Dahua)等。
  • 「陸資廠商」是否禁止使用?
    依據行政院秘書長110年8月11日院臺護長字第1100181360A號函說明,第三地區含陸資成分廠商及在臺陸資廠商,原則不列入盤點及汰換範圍;惟請各機關於辦理採購案時,如屬經濟部投資審議委員會公告之「具敏感性或國安(含資安)疑慮之業務範疇」,應確實於招標文件中載明不允許經濟部投資審議委員會公告之陸資資訊服務業者參與。

 

危害國家資通安全產品審查辦法

  • 危害國家資通安全產品之審查程序、風險評估、情資分享、使用限制及其他相關事項之辦法

  • 由核可或核定使用危害國家資通安全產品之上級機關或中央目的事業主管機關填具提報表,並於提報時檢附如物料清單或軟體物料清單等相關文件供主管機關審查。例如行政院與其所屬各部會,或監察院及其所屬審計部,均依第一款由各該機關自行提報;至中央各部會所屬及所監督之公務機關,則由各該部會依第二款提報,如交通部高速公路局,由交通部提報。

 

辦理採購注意事項

一、請各單位於辦理採購時,務必依「大陸廠牌資通訊產品及委外經營公眾場域盤點原則」查證,勿採購大陸廠牌資通訊產品。

二、建議多利用共同供應契約採購相關設備,避免採購大陸廠牌資通訊產品。

三、辦理採購案時,得依個案特性及實際需要於採購文件中循以下方式辦理

  1. 參考行政院公共工程委員會(下稱工程會)採購範本投標須知範本第16點,廠商所供應標的(含工程、財物及勞務)之原產地不允許大陸地區,以及資訊服務採購契約範本第8條第24款,如採購案內涉資通訊軟體、硬體或服務等相關事務,機關可要求廠商執行本案之團隊成員不得為陸籍人士,並不得提供及使用大陸廠牌資通訊產品。
  2. 倘涉雲端服務者,可另參考工程會資訊雲端服務採購契約範本第17條,廠商履約有下列情形之一者,機關得以書面通知廠商終止契約或解除契約之部分或全部,且不補償廠商因此所生之損失:16.經查廠商提供大陸廠牌、 資通訊產品(含硬體、軟體及服務)、雲端服務之所屬 一切資料存取、備份及備援之實體所在地位於大陸地區 (含香港、澳門),或跨該等境內傳輸相關資料。
  3. 自行或委外營運,提供公眾活動或使用之場地,不得使用危害國家資通安全產品,且應將相關限制式樣納入委外契約或場地使用規定中,以避免後續履約爭議,並將契約訂定相關文字列入年度稽核時之檢視項目。
  4. 依工程會113年8月13日工程企字第11300155871號函,機關辦理採購涉及物聯網設備技術規格之訂定,請各機關於採購物聯網設備時依該函說明事項辦理。
  5. 可參考數位發展部數位產業署之能量登錄機制資訊,揀擇適當之標的、廠商或於契約中載明須提出相關能量登錄證書等。

 

 

大陸廠牌資通訊產品盤點原則

一、盤點範圍:全機關,非僅機關內部資訊單位或特定單位。

二、「大陸廠牌認定方式」及「資通訊產品定義」:

  1. 大陸廠牌認定方式:由填報機關「從嚴認定」,所有屬大陸廠牌者,無論其原產地於我國、大陸地區或第三地區等,渠等產品均須納入。
  2. 資通訊產品定義:包含軟體、硬體及服務等,另具連網能力、資料處理或控制功能者皆屬廣義之資通訊產品,如無人機、網路攝影機、印表機等
  3. 各機關若無法於期限內完成汰換或有窒礙難行之處,須填報正當理由,後續由資通安全署協助評估其妥適性或其他可行作法。

三、盤點標的參考原則:

盤點對象

盤點範圍

盤點標的

判斷是否納入盤點及汰換作業

公務機關、委外廠商
(含分包廠商)

硬體

  • 無論是否具有連網能力、資料處理或控制功能之資通訊設備皆屬盤點及汰換範圍。

  • 如:個人電腦、伺服器、無人機、印表機、網路通訊設備、可攜式設備及物聯網設備等。
  1. 如硬體設備係透過共同供應契約採購者,原則不列入盤點及汰換範圍。
  2. 辦理採購:
    1. 請原廠/代理商提供廠牌證明文件。
    2. 透過網路或相關可行管道查證其是否為大陸廠牌。

軟體及服務
  • 非客製化軟體/系統:如原廠(官方)提供之套裝軟體、開發工具或作業系統等。
  • 客製化軟體/系統:如自行或委外開發之應用軟體、系統軟體或APP等。
  • 人力資源
  • 網站及APP所提供的服務
  • 雲端服務
  • 電話諮詢
  • 其他類型服務
  1. 自行下載:
    應確保軟體或元件確實由原廠(官方)網站下載,如原廠(官方)為大陸廠牌者,應納入盤點及汰換。
  2. 自行開發:
    應確保開發環境、工具及套件等係由原廠(官方)網站下載,或是透過採購取得,並分別依第一項及第三項辦理盤點及汰換作業。
  3. 辦理採購:
    1. 透過共同供應契約採購者,原則無須盤點及汰換。
    2. 機關自行辦理採購非客製化軟體/系統者,請原廠/代理商提供廠牌證明文件。
  4. 委外開發:
    1. 如使用原廠(官方)網站下載之軟體或元件,請委外廠商辦理前揭第一項作業,並提供說明及切結文件。
    2. 如使用非客製化軟體/系統者,委外廠商應提供原廠/代理商之廠牌證明文件。

 

廠商切結書

機關對於可能選任之受託者及其所供應之財物 (軟體設備) 或勞務之資料存取、儲存、備份及備援等作業,其實體設備所在地及資料傳輸是否跨境等相關議題,得要求其以書面方式揭露,並納入選任評估參考 。

資料所在地及跨境傳輸切結書(下載

 

常見問題

Q:有關「限制使用危害國家資通安全產品」是否會提供相關清單?(1150213版本)

A:

一、依據「危害國家資通安全產品審查辦法」(下稱審查辦法)第5條規定,危害國家資通安全產品認定結果將以情資分享方式讓公務機關知悉。

二、依資安法、審查辦法及行政院秘書長109年12月18日院臺護長字第1090201804A號函,公務機關禁止下載、安裝或使用危害國家資通安全產品(含大陸廠牌資通訊產品)(含軟體、硬體及服務),其相關注意事項如下:

  1. 大陸廠牌:指來源為「大陸(含港澳)地區廠商」之產品,而大陸(含港澳)地區廠商,參酌行政院公共工程委員會107年12月20日工程企字第1070050131號函示,指依大陸(含港澳)地區法律設立登記之公司、合夥或獨資之工商行號、法人、機構或團體。
  2. 考量實務執行問題,原則僅限制其最終資通訊產品不可為大陸廠牌

 

參考資料

資通安全管理法

危害國家資通安全產品審查辦法

大陸廠牌資通訊產品及委外經營公眾場域盤點原則

行政院數位發展部資通安全署-常見問題

 
瀏覽數:
登入成功