資通安全涵蓋資訊與通信，範圍較資訊廣泛，目前多以資通安全稱之 。

• 一、資通服務之定義依資安法第3條規定，指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。是以PC維護屬資通服務之一種。
• 二、資安法施行細則第4條要求應注意受託者「具備完善之資通安全管理措施」或「通過第三方驗證」，通過第三方驗證並不是必要項。

各機關應依資通安全責任等級分級辦法附表九資通系統防護需求分級原則，就機關業務屬性、系統特性及資料持有情形等，訂定較客觀及量化之衡量指標，據以一致性評估機關資通系統之防護需求。

行政院已於110年第2季提供線上填報情資功能，供機關運用，機關如欲依資通安全情資分享辦法第3條第3項進行情資分享，可於國家資通安全通報應變網站（https://www.ncert.nat.gov.tw/）以一般機關身分登入後，選擇上方「情資分享功能」填報分享。

一、考量危害國家資通安全產品由主管機關核定廠商清單效益有限，後續將由主管機關透過跨部會協調平臺與各機關溝通，推動危害國家資通安全產品之限制使用事宜。

二、現階段係請各公務機關依行政院秘書長109年12月18日院臺護長字第1090201804A號函，禁止使用及採購大陸廠牌資通訊產品（含軟體、硬體及服務），其相關注意事項如下：

(一)大陸廠牌：係指大陸地區廠商所提供之產品，至大陸地區廠商之定義係依行政院公共工程委員會107年12月20日工程企字第1070050131號函所稱「大陸地區廠商」，包含大陸地區法律設立登記之公司、合夥或獨資之工商行號、法人、機構或團體；此外，各機關於辦理採購案時，如屬經濟部投資審議委員會公告「具敏感性或國安含資安疑慮之業務範疇」，應確實於招標文件中載明不允許經濟部投資審議委員會公告之陸資資訊服務業者參與。

(二)陸籍人士：指委外廠商執行標案之團隊成員不得為大陸地區人民，針對多重國籍部分，如其一屬大陸地區人民，亦為限制範圍；此外，針對香港居民及澳門居民非屬上述限制範圍。

(三)考量實務執行問題，現行僅限制其最終資通訊產品不可為大陸廠牌，暫未限制大陸廠牌零組件。

(四)各機關辦理資通訊相關採購，得依個案特性及實際需要於採購文件中評估限制委外廠商及其分包廠商不得提供大陸地區廠商所生產或製造零組件。

一、政府機關於建置或使用雲端服務時，請參考國家資通安全研究院網站之共通規範專區所公布「政府機關雲端服務應用資安參考指引」（https://www.nics.nat.gov.tw/cybersecurity_resources/reference_guide/Common_Standards/），其內容包括共通資安管理規劃、IaaS、PaaS、SaaS以及自建雲端服務等資安控制措施。

二、為使政府機關於建置或使用雲端服務時，降低可能之風險，相關資安要求事項如下：

(一)應禁止使用大陸地區（含香港及澳門地區）廠商之雲端服務運算提供者。

(二)提供機關雲端服務所使用之資通訊產品（含軟硬體及服務）不得為大陸廠牌，執行委外案之境內團隊成員（含分包廠商）亦不得有陸籍人士參與，就境外雲端服務之執行團隊成員，至少應具備相關國際標準之人員安全管控機制，並通過驗證。另，雲端服務提供者自行設計之白牌設備暫不納入限制。

(三)機關雲端資料之存取、備份及備援之實體所在地不得位於大陸地區（含香港及澳門地區），且不得跨該等境內傳輸相關資料。