政府資服採購作業指引9月公布，開始明定標案需獨立編列資安預算

根據今年9月推出的《資訊服務採購作業指引》內容，可以分成預算編列、廠商資格、需求文件、決標作業、契約執行和爭議處理等六大面向，行政院公共工程委員會副主委葉哲良認為，此次預算編列的重點之一在於：需要將資安預算「獨立」編列。

標案需獨立編列資安預算，事先編列預備費和檢測費等

至於以往版本提及：需要將資訊經費中的5％作為資安經費的條文，他說，相關內容會依照數位部《資通系統籌獲各階段資安強化措施》編列的資安經費要求，未來若有比例的調整，只需要修正該文件內容即可。

葉哲良表示，該作業指引中首度明定：可以依個案特性，編列不同的預備費、物價調整費及檢測費。他指出，有些標案時間跨不同的年度，有時候會遇到加薪或者是軟體授權費用增加，甚至是因應需求增加而要新增不等的人天工作時數，才能夠完成相關的專案。

他說：「以往這種跨年度的標案，乙方業者只能根據合約執行，是無法向甲方提出增加費用的要求。」所以在《政府資訊服務採購作業指引》便明文規定，招標機關為了因應系統開發過程中，可能發生的需求新增或變動所產生的必要費用，機關必須事先預估可能需要額外的人月數量並編列「預備費」，未來乙方在履約過程中，只要在預備費用的額度內，可以實支實付；但若超過預備費額度，就要進行契約變更。

不過，葉哲良強調，這樣的預備費用比例不會公開，畢竟，相關費用編列對甲方而言並非是強制要求，若乙方事先知道預備費比例，依據實務經驗，乙方可能會刻意申請使用，反而不是鼓勵甲方編列預備費用的原意。

另外，為了解決以往執行標案履約或驗收時，甲方會要求乙方進行相關檢測，該作業指引也規範，甲方應該預估所需的檢測費用並編列檢測費，依照契約給付乙方檢測費。

如果是超過一年以上的資訊服務採購契約，作業指引也規範，甲方應該在契約中明定，每年服務費用將因應物價，例如軟體授權費用等，或是薪資指數調整，編列相關的物調費。

禁止使用中國廠牌產品，禁中資業者參與政府標案競標

在政府資訊服務採購標案，對參與投標的業者資格也有明文的規範。葉哲良表示，招標機關應該對投標業者有一定的規範，如果涉及國家安全或是資通安全的採購，在《政府資訊服務採購作業指引》明確指出，機關應該直接在招標文件中規定，不允許陸資廠商（包含其分包廠商）以及陸藉人士參與，而陸資廠商的定義，則包括：大陸地區廠商、第三地區陸資廠商，以及在臺灣的陸資廠商。

此外，機關招標案件如果涉及國家安全的採購，必須依照採購案件的特性和實際需要，限制招標廠商的資格；如果對廠商的資金來源比例有特定限制的話，例如，懷疑廠商資金來源有中資的話，可以要求廠商提出相關董監事、股東名冊和資金來源等文件；如果是涉及僑外投資的話，也可以要求廠商提出授權查核同意文件，有必要時，亦可請求目的事業主管機關協助查察。

在執行採購契約時，不管是履約標的或是執行過程中，都不得提供或使用大陸廠牌的資通訊產品，相關的履約人員也不得為大陸藉人員。

但是，有些國外的駐點單位或金融單位海外分行等，因為業務需求且無其他替代方案，不得不使用大陸廠牌的產品時，此時甲方應該說明原因，並且經過該機關的資通安全長，以及上級機關資通安全長進行逐級核可後，同時函報《資通安全管理法》主管機關（數位部）進行核定；且在該產品未達汰換年限前，該機關也應該加強相關的資安強化措施。

杜絕回饋項目以創意取代，最有利標將以固定價格決標

以往政府標案採用最有利標招標時，仍有一些經常為人詬病的弊端，就是投標廠商會提供很多「回饋項目」，甚至傳出以蘋果手機作為回饋方案，贏得最後標案的都市傳說。

凌群電腦總經理劉瑞隆表示，他曾經聽說以往有機關的政風人員，會因自家單位的採購人員，沒有如同其他機關的採購人員般，向乙方爭取足夠的回饋項目而被找去喝咖啡。

葉哲良表示，為了杜絕廠商不當回饋，改革有些機關常年以凹廠商回饋，作為得標與否的陋習，這次在《資訊服務採購作業指引》明定：評選項目不得列「回饋」項目，但為了提升採購效益及評選廠商服務的差異，評選項目得列「創意」項目作為評選廠商的區隔。

至於如何區別「回饋」與「創意」差別呢？葉哲良表示，「創意」是基於原本合約需求的延伸，例如：如何提供品質更高的服務或是延長保固等；若是與合約主體無關就是的回饋，常見於買菜送蔥，要求各式各樣的硬體設備回饋。

他也強調，甲方對乙方提供的採購服務，最重要的就是確保資料安全和提高服務品質，兩者要並存，而「創意」也可以是如何做到資料安全和提高服務品質的解決方案。

依據《政府採購法》的規定，公告金額以上資訊服務採購，以不訂底價的「最有利標」為原則，但在《政府資訊服務採購作業指引》中則明定，未來最有利標的標案，機關在招標時候，除了會事先公開標案的金額，並且會以「固定費用」決標，得標廠商不需要如同以前的最有利標，除了要比拼可以提供的服務項目外，必須還要議減價格，以確保有達到機關訂定的底價。

也就是說，未來機關招標如果是「最有利標」的標案時，真正的比較就是投標廠商所能提供的服務內容和創意，能否符合招標文件的需求？能否可以為機關創造價值？至於，招標時公開的標案價格，未來不管是誰得標，得標廠商不需要減價或提供任何回饋，多少金額的標案，得標廠商就是多少金額決標。

普中高級資訊系統都納入資安規範

依照《資安法》、《資通安全責任等級分級辦法》以及數位部相關規範與政策要求下，各個機關自行或是委外開發的資通系統，都應該依照資通系統防護需求分級原則完成資通系統分級，並依照相關資訊系統的普級（一般機關）、中級（關鍵基礎設施）和高級（機敏機關）的防護需求，執行符合該防護等級的資安基本要求。

葉哲良表示，這也是政府資訊服務採購另外一個重要轉捩點：資安入規。也就是說，未來甲方的採購人員，在進行所有的資訊服務採購的標案時，都必須針對不同資訊系統機敏等級：普級、中級和高級，參考設定的資安基本要求一覽表，制定並執行相對應的資安規範。

葉哲良指出，也有許多乙方業者擔心，如果不能提供符合相關的資安規範的採購服務，未來將無法投標、承接政府標案，因此，為了讓乙方業者有多一點調適時間，目前預計，將於明年3月1日，落實針對普級系統將資安作為納入採購規範；中級和高級的資安入規，將延至明年8月1日適用。

與《政府資訊服務採購作業指引》同步公布的還有《修正資訊服務採購契約範本強化資安防護》，葉哲良表示，公共工程委員會依照採購法賦予的權力就是訂定契約範本，會在資服契約範本中增列「資安基本要求及服務水準」。

「契約範本只要制定的規範越專業、越詳盡，使用者越不會去修改範本內容。」他說，這次契約範本便把各種SLA（系統服務水準）、QoS（服務品質）以及相關網路安全規範都制定的很專業且詳盡，採購人員就可以更輕易的依據資訊服務系統的類別和系統機敏等級，選擇需要的資安等級的規範內容。

他進一步解釋，採購範本的資安基本要求一覽表（見上方圖表），就像是汽車廣告傳單一樣，傳單上有簡配、標配和各種選配，資安一覽表也有各種明確的資安要求，也就是「採購履約工作項目」，買車的人可以透過廣告傳單買到所需要的裝備，而機關採購也可以透過這個資安一覽表，讓機關和業者對於資安規範有明確的共識、不會雞同鴨講造成雙方的誤解，有共同的語言也可以減少爭議。

他也指出，不管是作業指引或是契約範本以及資安一覽表，都是彙整工程會過往對資訊採購的要求，以及數位部對資訊和資安的規範，就是希望可以讓機關的採購人員可以有完整的全生命周期的認識，也可以藉由參考相關規定引導採購人員可以做好政府資訊服務採購的任務。

葉哲良表示，工程會本身具備土木營建和法律兩類高度計畫型人才，不善於處理變化多的IT，但工程會又是政府採購的主管機關，如何把又軟又變化多端的資服採購，可以妥善地放在《政府採購法》和《資安法》的框架上，就必須要懂得做分類和講人話，讓採購人員對於複雜的資安規範一看就懂。

目前資安入規的項目最複雜的高達45項，葉哲良也要求工程會同仁檢視過往標案中的資安規範，工程會大概會缺漏3～4個項目，一般縣市政府會缺十多個項目，但若是三、四級機關或是鄉鎮低方對於資安在意程度越低，資安入規項目缺漏的數量會更多。

 相關報導