當金管會開放金融業者上雲後,政府也已經正視這股趨勢,體認到雲端服務已經是政府資訊服務採購的某一種主流。為了便利招標的政府機關單位,以及預計投標的資訊服務業者,行政院公共工程委員會(簡稱工程會)協同數位發展部,在彙整產業意見後,於日前(5月17日)正式公布「資訊雲端服務採購契約範本」(業界簡稱雲端採購範本)(檔案下載處)。
時任行政院公共工程委員會副主委葉哲良表示,因應資訊雲端化及循環經濟的趨勢,政府以取得雲端服務代替傳統購買的模式,將成為資訊採購的主流,但不論是採購人員的心態、與會計制度、採購契約的內容,都必須有新思維、新轉變;因此,工程會協同數位部透過凝聚各方的專業及共識,建立雲端服務專用的契約範本,引導機關邁向雲端。
「雲端採購範本」是依照政府採購法第63條第1項規定,要求政府各類採購契約以採用公共工程委員會訂定的範本為原則,且該採購範本內容,是工程會與相關公協會、廠商討論後一起訂定的,適用範圍為提供既有軟體系統轉換 至雲端服務、雲端服務(SaaS)及雲端平臺(PaaS/IaaS)公有雲與私有雲的線上服務。
另外,葉哲良也說,在資安部分,也將統計各部會年度資安經費佔IT的占比,並與全球相關領域數據做比對,以作為政府施政時的參考,達到資安與國安同時兼顧的目標。
不過,此次雲端採購範本正式版本公告後,我們可以發現有些意外的變化。原本工程會和產業界討論時,有設立一條希望可以透過「保險」來轉嫁機關和資服業者風險的條文,但最後在正式版本中該保險條文則被刪除,不論是保護自己的專業責任險、防範駭客入侵的第三責任險,或者是以數據保護為核心的資安險等,都從正式版本中被拿掉。
雲端採購範本屬於服務採購,不適用於設備類的租賃轉移合約
葉哲良指出,這個「資訊雲端服務採購契約範本」是由甲方的機關擬好所需要的內容,再提供給乙方的資服業者看內容是否合適,這主要提供給機關編列採購雲端服務時的契約範本參考,包括各種SaaS、PaaS或IaaS等公雲或私雲的雲端服務的採購,並不適用於租賃到期後將財產轉移給機關的作法,這種租賃轉移大多為資本門為主的設備採購案。
他進一步解釋,這份「資訊雲端服務採購契約範本」是參考原本的資訊手冊修改而來,過去太過重視硬體採購,現在應該改成服務採購的概念,若是機關在採購雲端服務之餘仍需要額外的硬體設備,就應該另外採購硬體設備,不應該將硬體和服務採購混在一起。
葉哲良指出,以目前政府採購的預算編列方式,硬體採購多以資本門的編列為主,但資訊或資安服務採購則多以經常門科目進行編列,預算法對於資本門有專屬的定義,立法院進行預算審查時,有時候會採取統一刪除經常門多少百分比的方式,造成政府資訊或資安服務採購預算編列不足。但他認為,在現在資訊和資安服務比重逐漸增加時,機關應該妥善編列預算,取得所需的資訊或資安服務,也是一大考驗。
明列禁用陸籍人士和產品,禁在中港澳跨境資料傳輸
這個雲端採購範本總計有21條條文,在這次訂定雲端採購範本中,有幾項重要條文值得關注。葉哲良指出,第8條「履約管理」的條文中,第8-3-1條中,明確規定「廠商執行本案之團隊成員(含分包廠商)不得為陸籍人士(係指接觸本採購案資料之人員)」。
但這中間可能會遇到一些雲端服務業者在境外提供相關雲端服務,此時該如何限制陸籍人士不得參與該專案呢?葉哲良回答:「境內採用國籍管理,境外則採用資料流管理的方式,確保資料流經的節點,都不會有陸籍人士。」
第19條「保密及安全需求」條文中,在第19-5條中也明確規範,提供服務的業者,不可以使用大陸廠牌的資通訊軟體、硬體或雲端服務等;第19-6條更清楚規定,雲端資料儲存地點不得位於大陸(含香港及澳門)境內,並不得在中港澳地區做跨境資料傳輸。
明訂業者需提供6個月以上日誌檔,契約結束後保留日誌檔6個月
雖然《資通安全管理法》主要是規範公務機關以及特定非公務機關,但根據雲端採購範本中的第15條「權利及責任」條文中,第15-14條「資通安全責任」的規定,在第15-14-1條便明確要求投標的廠商,必須遵守《資通安全管理法》以及相關子法與行政院頒訂各項資通安全規範及標準,也必須遵守機關資通安全管理及保密的相關規定。若以供應鏈的概念來看,提供公務機關資訊、資安和雲端服務的業者,一旦順利得標,都會受到《資通安全管理法》的規範。
其中,提供和保留雲端服務系統的各種日誌檔(Log),也是此次雲端採購範本中,有詳細規範的項目。例如,第15-14-2條明定:廠商要提供雲端服務與履約標的的相關日誌,包括:應用程式日誌(AP Log)、登入日誌(Logon Log)、網站日誌(Web Log,若無法提供,廠商提出證明,經機關同意後得免提供)、作業系統日誌(OS Event Log)和其他保存期限至少6個月的相關日誌。
第15-15條明定:廠商於終止或解除雲端服務採購契約或履約完成後,應該要提供前6個月雲端服務與履約標的相關的日誌記錄,否則機關得依比率,不發還保證金。
第17條「契約終止、解除及暫停執行」條文中,其中第17-11-6條明確規範「廠商提供之雲端服務與履約標的相關之日誌,應於契約終止或解除或期滿後保存6個月。」
根據這份雲端採購範本的規定,清楚訂定業者必須要提供機關6個月以上的各種日誌檔案(Log),契約結束後也必須保留日誌6個月。葉哲良表示,未來保留各種日誌檔至少6個月以上,契約結束後也必須保留日誌檔6個月的規範,將會成為臺灣各行各業的低標。
不可歸責廠商事由造成的違約金計算,以契約價金總額20%為上限
在政府各種採購契約中,以往對於違約金的估算,都由機關依照往例或參考其他機關標準制定,此次在雲端採購範本中,也在第14條「違約金」的條文中明定違約金的上限。例如,根據第14-3條規定,如果是不可抗力或不可歸責於廠商的事由導致違約時,屬於行政違約,違約金的計算以契約價金總額的20%為上限。
但如果是因為廠商的內部過失,導致可歸責於廠商事由,致使無法提供保存期限內的存取記錄和日誌檔時,就可依照第14-4條規定,依照契約價金總額的2%計算違約金,若計算出的違約金不滿一萬元者,仍以一萬元計算;如果未能限期改善者,則可以按次處罰,且不受20%違約金上限的規範。
廠商如果違反資安相關法令,或者是知道機關或廠商發生資安事件時,依照雲端採購範本第15-14-3條規定,廠商必須在知道發生資安事件的1小時內通報機關,並提出緊急應變處置且配合機關做後續處理。
如果廠商無法配合上述規定的話,依照第14-5條違約金的規定,可以以契約價金總額的10%作為違約金,不受契約價金總額20%的違約金上限規定。
葉哲良表示,雲端採購範本也將資安事件的通報正式明文化,避免以往曾經發生過,機關發生資安事件後,廠商或機關就刪除Log來隱瞞資安事件的發生。
資安是未來政府所有資服採購或是雲端服務採購時的重要項目,根據第2條「履約標的」條文中第2-4條規定,在雲端採購範本涉及的資通系統,都必須在招標時,就確定其資安防護需求等級是普級、中級還是高級,如果招標時沒有清楚載明防護等級,都以普級視之。
而且,機關對於資安防護等級需求的應該搭配何種資安作為,則必須參考「各類資訊(服務)採購之共通性資通安全基本要求參考一覽表」中,針對:雲端服務(SaaS)套裝型、雲端微服務(SaaS)辦公室生產力工具、既有雲端微服務(SaaS)客製化需求更版、雲端平臺(PaaS或IaaS)、應用軟體或系統維運服務的類型,依據所需要的資安防護等級,執行並落實所需要的防護項目內容。
第1條 契約文件及效力 |
第2條 履約標的 |
第3條 契約價金之給付 |
第4條 契約價金之調整 |
第5條 契約價金之給付條件 |
第6條 稅捐 |
第7條 履約期限 |
第8條 履約管理 |
第9條 履約標的品管 |
第10條 保證金(由機關擇定後於招標時載明,無者免填) |
第11條 驗收 |
第12條 遲延履約 |
第13條 保固(無者免填) |
第14條 違約金 |
第15條 權利及責任 |
第16條 契約變更及轉讓 |
第17條 契約終止、解除及暫停執行 |
第18條 爭議處理 |
第19條 保密及安全需求 |
第20條 其他 |
第21條 服務績效 |
資料來源:行政院公共工程委員會,2024年5月
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-11-20