行政院數位發展部擬修訂「各機關對危害國家資通安全產品限制使用原則」,並上傳到公共政策網路參與平臺集思廣益、收集各界意見。

美國眾議院議長裴洛西八月訪臺時,有超商以及火車站的電子看板遭駭,經查是因為業者使用中國廣告播放軟體致使駭客得以利用漏洞、置入惡意內容。這樣的惡意行為也引發全民重視,行政院數位發展部部長唐鳳在該部掛牌第一則公文就是,預告將修訂於2019年4月18日行政院發布的「各機關對危害國家資通安全產品限制使用原則」,並提交公共政策參與平臺討論、收集各界意見。數位發展部表示,目前各界意見支持修法,一旦完成草案修訂,將立即公布適用。

此次修訂的的內容,主要在於擴大公務機關原有禁用中國資通產品的範圍,更特別的是,更首度納入,如果公務機關在不得已的情況下,只能採用中國製造的資通訊產品時,必須獲得該機關以及上級機關兩位資安長的同意,並且跟數位發展部報備後,並將使用的資通訊產品造冊列管。

租賃公共場合廣告牆的業者,也必須遵守禁用中國製資通產品規定

根據「各機關對危害國家資通安全產品限制使用原則修正草案」中的新增的修訂內容,未來該條例的適用範圍將從原本的公務機關擴及到委外合作廠商所使用的軟、硬體及服務,都受到該法的規範。

新增的修正草案內容指出,各機關自行或委外營運,提供公眾活動或使用場地所使用的產品,不論其產品是否為機關財產,都必須遵守該條例所規定禁用產品相關要求。

也就是說,包括像是臺鐵等公共場合中,如果有提供民間業者租賃的廣告牆、電子看板等,未來在該條例公布後,都必須在委外契約或是場地使用規定中明訂,租賃業者所使用的軟、硬體及服務等相關產品,都不可以使用中國製的產品,都必須要遵守該禁用規定,公務機關也應該負起督導的責任。

至於目前還沒有到期的契約,若經盤點,已經有使用中國製的軟、硬體或服務,則需注意是否會產生新的資安威脅。

若必須使用中國製資通產品,新增兩道資安長核可程序

若因特殊情況,不得不採購並使用中國製的資通產品時,例如外交部某些駐外國家當地僅提供中國製的資通產品時,修訂法條中也增訂兩道把關門檻,希望可以藉此降低不得不使用中國製資通產品所帶來的風險。

修法內容中指出,機關如果需要採購或使用中國製資通產品時,必須經機關資安長以及上級機關長逐級核可後,函報本法主管機關核定並修正其應該遵守的事項。

該修正條例中也規定四種函報的方式,第一種,如果沒有上級機關的話,就直接函報本法主管機關核定,例如直轄市政府、各縣市政府;第二種,若是行政院所屬機關,則逐級函報到行政院所屬部會資安長核可後,再由部會函報本法主管機關核定;第三種,如果是行政院部會的話,則尤其資安長核可後,再函報本法主管機關核定。

但該修正條例中也規定最後一種函報方式,不是行政院部會或是所屬機關以外的單位,但有上級機關的話,則需要逐級函報上級機關核可後,再由上級機關函報本法主管機關核定。例如,國立大學如需採購中國製資通產品時,需經學校資安長及上級機關教育部資安長核可後,再由上級機關教育部函報本法主管機關核定。

此外,根據條文規定,各機關如需採購或使用中國製資通產品時,也應該敘明理由、經本法主管機關核可後,以專案方式購置並列冊管理,且需遵守指提供特定區域和特定人員使用;不得使公務網路環境介接;不得處理或儲存機關公務資訊;測試或檢驗結果應產出報告;當購置理由消失或使用年限屆滿,應該立即銷毀。

熱門新聞

Advertisement