跳到主要內容
網站顏色切換 深色模式
進階搜尋
關閉搜尋
:::

機關人員未依資安法、資安法授權訂定之法規或機關內部規範辦理資安事項,經主管機關、上級或監督機關評定績效不良,且疏導無效情節重大者始可能進行懲處,機關人員如已依規定辦理者 ,不致受懲。

資通安全涵蓋資訊與通信,範圍較資訊廣泛,目前多以資通安全稱之 。

  • 一、資通服務之定義依母法第3條規定,指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。是以PC維護屬資通服務之一種。
  • 二、施行細則第4條要求應注意受託者「具備完善之資通安全管理措施」或「通過第三方驗證」通過第三方驗證並不是必要項。

各機關應依資通安全責任等級分級辦法附表九資通系統防護需求分級原則,就機關業務屬性、系統特性及資料持有情形等,訂定較客觀及量化之衡量指標,據以一致性評估機關資通系統之防護需求。

行政院已於110年第2季提供線上填報情資功能,供機關運用,機關如欲依資通安全情資分享辦法第3條第3項進行情資分享,可於資通安全事件通報及應變網站(https://www.ncert.nat.gov.tw/)以一般機關身分登入後,選擇上方「情資分享功能」填報分享。

  • 一、考量危害國家資通安全產品由主管機關核定廠商清單效益有限,後續將由主管機關透過跨部會協調平臺與各機關溝通,推動危害國家資通安全產品之限制使用事宜 。
  • 二、現階段係請各公務機關依行政院秘書長109年12月18日院臺護長字第1090201804A號函,禁止使用及採購大陸廠牌資通訊產品(含軟體、硬體及服務),其相關注意事項如下:
    • (一)大陸廠牌:指行政院公共工程委員會 107年 12月 20日工程企字第 1070050131號函所稱「大陸地區廠商」,至於「第三地區含陸資成分廠商」及「在臺陸資廠商」原則非屬上述範圍,惟各機關於辦理採購案時,如屬經濟部投資審議委員會公告「具敏感性或國安含資安疑慮之業務範疇」,應確實於招標文件中載明不允許經濟部投資審議委員會公告之陸資資訊服務業者參與。
    • (二)陸籍人士:指委外廠商執行標案之團隊成員,其現行國籍不得為中國大陸國籍 。另,針對多重國籍部分,如其一國籍屬中國大陸國籍亦屬限制範圍 ;此外,針對香港國籍及澳門國籍人士非屬上述限制範圍 。
    • (三)考量實務執行問題,現行僅限制其最終資通訊產品不可為大陸廠牌,暫未限制大陸廠牌零組件。
    • (四)各機關辦理資通訊相關採購,得依個案特性及實際需要於採購文件中評估限制委外廠商及其分包廠商不得提供大陸地區廠商所生產或製造零組件。
  • 一、政府機關於建置或使用雲端服務時,請參考國家資通安全研究院之共通規範專區所公布「政府機關雲端服務應用資安參考指引」,其內容包括共通資安管理規劃、IaaS、PaaS、SaaS以及自建雲端服務等資安控制措施。
  • 二、為使政府機關於建置或使用雲端服務時,降低可能之風險,相關資安要求事項如下:
    • (一)應禁止使用大陸地區(含香港及澳門地區)廠商之雲端服務運算提供者。
    • (二)提供機關雲端服務所使用之資通訊產品(含軟硬體及服務)不得為大陸廠牌,執行委外案之境內團隊成員(含分包廠商)亦不得有陸籍人士參與,就境外雲端服務之執行團隊成員,至少應具備相關國際標準之人員安全管控機制,並通過驗證。另,雲端服務提供者自行設計之白牌設備暫不納入限制。
    • (三)機關應評估機敏資料於雲端服務之存取、備份及備援之實體所在地不得位於大陸地區(含香港及澳門地區),且不得跨該等境內傳輸相關資料。
7筆資料
返回頁面頂端