行政院公布「各機關對危害國家資通安全產品限制使用原則」的行政命令,包括中央與地方政府以及關鍵基礎設施提供者在內,都適用該使用行政命令,公務人員若違法者,將依照資通安全管理法予以懲戒或懲處。

圖片來源: 

iThome

行政院發言人Kolas Yotaka(谷辣斯‧尤達卡)在4月19日召開記者會對外公布,一項由行政院院長蘇貞昌4月18日同意通過的行政命令「各機關對危害國家資通安全產品限制使用原則」,並以電子公文發函給各機關。而這項原則原本應該在一月底公布,但因為外界有諸多疑慮,所以在綜合多方考量下,遲至4月中旬才對外公布。

Kolas Yotaka表示,這項行政命令的母法來自「資通安全管理法」,包括受該法規範的中央與地方政府以及關鍵基礎設施的提供者等,都必須在未來3個月內,優先盤點機關內已經採購的、來自危險地區的產品清單送交行政院,行政院也會彙整一份正面表列、禁止採購品牌的產品清單,給受資安法規範的機關參考;該份使用原則將溯及既往,適用先前已經採購的資安產品。

但她也強調,這個使用原則只適用於政府各機關,並不涉及民間私人企業採購以及民間消費行為。

受規範產品囊括網路攝影機及雲端服務在內

Kolas Yotaka表示,未來受資安法規範的機關單位,包括:中央政府的機關(構),各地方縣市政府,公立學校,公營事業、行政法人,還有關鍵基礎設施的提供者和政府捐助的財團法人在內,其中,後兩者則必須由該單位的中央目的事業主管機關進行相關的督導。

政府目前由國土安全辦公室制定的關鍵基礎設施提供者規定有八類,包括:水資源、能源、通訊傳播、交通、金融、高科技園區、政府機關與緊急醫療等,但各個類別中,有哪些單位確認為受資安法規範的單位,目前根據資安法的規定,正在進行相關的指定程序中。

為了避免不必要的誤會,Kolas Yotaka表示,在該原則中,不使用中國或陸資等敏感字眼,「因為可能產生危害臺灣資安通安全產品的來源不一定只有中國,還有其他國家,不點名特定國家別,也可避免疏漏。」

受到規範的產品範圍則囊括:伺服器主機、網路攝影機、遙測定點設備、無人機、雲端服務、電信業的核心骨幹網路設備電腦軟體、防毒軟體、機關委外開發的軟體系統、委外通訊設備顧問,以及委外企業開發資訊系統等,都被視為資通安全產品。

採購危害資安產品需經主管機關核可並列冊管理

在「各機關對危害國家資通安全產品限制使用原則」的條文中,也清楚規定,「各機關除因業務需求且無其他替代方案外,不得採購及使用危害國家資通安全的產品」,也要求採購的機關必須說明理由且經過主管機關核可後,才能以專案方式購置,相關產品也應該列冊管理,以及遵守「指定特地區域及特定人員使用」、「不得與公務網路環境介接」、「不得處理或儲存機關公務資訊」、「測試或檢驗結果應產出報告」、「購置理由消失時,或使用年限界滿應立即銷毀」等五項規定。

因為這項使用原則溯及既往,所以在條文中也規定,各機關應該要定期辦理資產盤點,在4月19日該使用原則公布前,就已經採購的危害國家資通安全產品,應該要在廠商清單提供後3個月內列冊管理,並不得與公務網路環境介接,也應該一致非敏感或非重要環境;如果該產品已經屆滿使用年限的話,則在廠商清單提供後,編列預算於該年度汰除;未達使用年限者,則明定汰除的期限。

由於這項使用原則適用對象包括中央與地方政府在內,加上關鍵基礎設施服務提供者以及政府捐助的財團法人,例如工研院、資策會等,也同樣在該法的規範範圍中。但高科技園區有內有許多民間企業在內,哪些單位是被資安法指定的關鍵基礎設施提供者,還有待相關清單出爐,但未來科技部與經濟部也將透過科學園區管理局,進一步和民間業者建立合作溝通的機制。

公務機關不遵守該使用原則,將依照資安法進行懲處

政府這項「各機關對危害國家資通安全產品限制使用原則」的行政命令,原訂在一月底就要公告,為了更周延內容故延後公布。

身兼國家安長的行政院副院長陳其邁在接受媒體訪問時也強調,如果未來縣市政府不遵守「各機關對危害國家資通安全產品限制使用原則」的規定,也將依據資安法第19條的規定,針對公務機關所屬人員未遵守資安法規定者,依照情結輕重予以懲戒或懲處。

但像是臺南市政府在一月下旬時,就已經發佈新聞稿公布,全面盤點所屬資通訊設備,並配合中央資安政策,全面禁用包括華為在內等危害國家資安產品。

臺南市政府更公告,為了避免潛在的資安風險,硬體採購除了配合採用政府共同供應契約外,更全面禁止提供中國產品;機關網路連線因採用政府網路網路服務(GSN),無法連上中國網站、可以防止機敏資料外流外;在資訊作業委外管理規範則要求業者進行「委外契約及需求規格書製作」時,應註明資訊安全保密條款,必要時,臺南市政府也會與委外廠商簽訂保密協定,以明確告知委外廠商應遵循事項。

 

熱門新聞

Advertisement