常見問題

一、依資安法施行細則第4條所定之委外注意事項，委託業務涉及客製化資通系統開發者，廠商應提供該資通系統之安全性檢測證明，包含源碼掃描、弱點掃描、滲透測試等安全檢測。（詳參資通安全責任等級分級辦法附表10資通系統防護基準–系統與服務獲得構面）。

二、前述受託業務涉及客製化核心資通系統之開發，或委託金額達新臺幣一千萬元以上者，應由委託機關自行辦理或由委託機關另行委託第三方辦理安全性檢測之複測，以確保該資通系統之安全性。

資通系統如包含客製化的部分，即屬自行或委外開發之資通系統，須依資通安全責任等級分級辦法第11條規定，完成資通系統防護需求分級，並依系統防護基準執行相關控制措施。

各機關於日常維運資通系統時，應訂定日誌之記錄時間週期及留存政策，並保留日誌至少6個月，其保存項目建議如下：
作業系統日誌(OS event log)
網站日誌(web log)
應用程式日誌(AP log)
登入日誌(logon log)
另為確保資通安全事件發生時，各機關所保有跡證足以進行事件根因分析，相關日誌紀錄建議定期備份至與原日誌系統不同之實體，詳參國家資通安全研究院網站發布之「資通系統防護基準驗證實務」2.2.1.記錄事件章節之內容（https://www.nics.nat.gov.tw/cybersecurity_resources/reference_guide/Common_Standards/）。

一、政府機關於建置或使用雲端服務時，請參考國家資通安全研究院網站之共通規範專區所公布「政府機關雲端服務應用資安參考指引」（https://www.nics.nat.gov.tw/cybersecurity_resources/reference_guide/Common_Standards/），其內容包括共通資安管理規劃、IaaS、PaaS、SaaS以及自建雲端服務等資安控制措施。
二、為使政府機關於建置或使用雲端服務時，降低可能之風險，相關資安要求事項如下：
(一)應禁止使用大陸地區（含香港及澳門地區）廠商之雲端服務運算提供者。
(二)提供機關雲端服務所使用之資通訊產品（含軟硬體及服務）不得為大陸廠牌，執行委外案之境內團隊成員（含分包廠商）亦不得有陸籍人士參與，就境外雲端服務之執行團隊成員，至少應具備相關國際標準之人員安全管控機制，並通過驗證。另，雲端服務提供者自行設計之白牌設備暫不納入限制。
(三)機關雲端資料之存取、備份及備援之實體所在地不得位於大陸地區（含香港及澳門地區），且不得跨該等境內傳輸相關資料。

一、考量危害國家資通安全產品由主管機關核定廠商清單效益有限，後續將由主管機關透過跨部會協調平臺與各機關溝通，推動危害國家資通安全產品之限制使用事宜。
二、現階段係請各公務機關依行政院秘書長109年12月18日院臺護長字第1090201804A號函，禁止使用及採購大陸廠牌資通訊產品（含軟體、硬體及服務），其相關注意事項如下：
(一)大陸廠牌：係指大陸地區廠商所提供之產品，至大陸地區廠商之定義係依行政院公共工程委員會107年12月20日工程企字第1070050131號函所稱「大陸地區廠商」，包含大陸地區法律設立登記之公司、合夥或獨資之工商行號、法人、機構或團體；此外，各機關於辦理採購案時，如屬經濟部投資審議委員會公告「具敏感性或國安含資安疑慮之業務範疇」，應確實於招標文件中載明不允許經濟部投資審議委員會公告之陸資資訊服務業者參與。
(二)陸籍人士：指委外廠商執行標案之團隊成員不得為大陸地區人民，針對多重國籍部分，如其一屬大陸地區人民，亦為限制範圍；此外，針對香港居民及澳門居民非屬上述限制範圍。
(三)考量實務執行問題，現行僅限制其最終資通訊產品不可為大陸廠牌，暫未限制大陸廠牌零組件。
(四)各機關辦理資通訊相關採購，得依個案特性及實際需要於採購文件中評估限制委外廠商及其分包廠商不得提供大陸地區廠商所生產或製造零組件。

依公務機關所屬人員資通安全事項獎懲辦法第4條之規定，機關人員未依資安法、資安法授權訂定之法規或機關內部規範辦理資安事項，經主管機關、上級或監督機關評定績效不良，且疏導無效情節重大者，始可能進行懲處，機關人員如已依規定辦理者，不致受懲。