將資安規範納入採購合約將依系統安全等級而有不同,普級系統資安入規定於明年(2024年)3月1日實施,中、高級系統則於8月1日適用。
政府資訊服務採購過去二十年來,陸續有許多亂象發生,加上各種網路風險頻傳、資安威脅加劇,政府對於相關的資訊服務採購也新增各種資安規定,但也因為政府缺乏一套完整的資安規範,各機關各行其是,無助於政府整體資安防護提升。
因此,政府採購的主管機關公共工程委員會和嫻熟資訊及資安的數位發展部,以及各個資訊、資安業者與公協會等單位,聯手制定一套政府《資訊服務採購作業指引》,並將《各類資訊(服務)採購之共通性資通安全基本要求參考一覽表》作為各機關資訊系統相關資安防護等級的資安規範參考。
行政院政務委員兼工程會主委吳澤成也在9月25日正式發函給各個政府機關,要求自即日起,各機關政府的資訊服務採購都可參照政府《資訊服務採購作業指引》;另外,政府機關也依據資訊系統的機敏等級區分為普級、中級和高級,並將相關的資安規範都明列在《各類資訊(服務)採購之共通性資通安全基本要求參考一覽表》中,工程會於函式中則正式明定,普級系統將資安納入採購將於明年(2024年)3月1日施行,其他中、高級系統則於明年(2024年)8月1日正式適用。
●各政府機關即日起適用,新制定的政府《資訊服務採購作業指引》
政府每年都有將近400億元的資訊服務採購需求,但政府機關扮演的甲方,和提供資訊、資安服務的乙方,多年以來,面臨各種契約、價金,屢屢出現爭議協處議題,加上臺灣長期身處各種網路攻擊、資安威脅等風險之下,也對資訊系統建置時的資安規畫與契約履行造成極大的挑戰,使得原本單純的政府採購案件,陷入減價驗收、甚至是無法驗收的窘境。
過往,政府資訊服務採購有許多亂象,也讓政府機關和資服業者陷入一個難以解決的惡性循環,因此,工程會、數位部與資訊、資安產業界以及公協會合作,制定政府《資訊服務採購作業指引》,其中,便是由乙方業者提出可執行的要項,再由甲方採購人員評估,若實務可以執行的項目,都納入相關的作業指引中。
工程會也希望透過訂定《資訊服務採購作業指引》,從採購全生命週期,提醒機關辦理資訊服務採購相關的應注意事項,也可以強化機關資訊服務採購做到需求明確、合理編列費用及減少相關的履約爭議,更重要的是,除了將資安納入採購合約,會因為資訊系統資安防護等級不同,給予資服資安業者一定的調適時間外,《資訊服務採購作業指引》自發函之日起(9月25日)即日實施,作為個政府機關辦理資訊服務採購的參考指引。
●資服採購納入資安基本要求,可以參考資安一覽表作為選擇依據
根據數位部於2022年資安監控情資統計,最嚴重的資安威脅以掃描刺探類(47.2%)、入侵攻擊類(26.9%)為最多,但是,政府敏感資訊或民眾個資如果遭到駭客竊取,則會影響民眾對政府的信任。
因此,近年來,政府在相關的資訊服務採購合約中,也都會加上不一樣的資安規範,只不過,許多負責政府機關資訊和資安的採購人員,通常也不具有資訊和資安專業,面對相關的資訊服務採購的資安要求時,除了四處搜尋或找配合的資訊業者詢問外,缺乏一套完整的資安風險藍圖,也使得制定的資安規範不甚完整,無法真正有效提升機關單位的資安防護能力。
面對政府採購類型多元,工程會認為,如果可以將不同類型的資訊服務採購,所應該具備的通案性資安基本要求,全部統整並納入相關的契約範本外,政府機關在執行採購招標時,依照資訊系統的資安防護等級:普級(一般機關)、中級(關鍵基礎設施)和高級(機敏機關),提供不同的資安基本要求的選項,真正做到不只強化政府資訊服務採購的資安防護,也可以起到藉由政府採購引導產業發展,共同提升臺灣的資安防護能力。
工程會表示,數位發展部於今年9月18日同意,將《各類資訊(服務)採購之共通性資通安全基本要求參考一覽表》正式納入工程會資訊服務契約範本的附件,未來各個機關將可以視個案特性,將所列的各種資安事項全部納入相關的資訊服務採購契約中。
工程會也指出,為了讓資服和資安業者在面對《各類資訊(服務)採購之共通性資通安全基本要求參考一覽表》時,有足夠的調適時間配合和因應,在上述資安一覽表中屬於普級的資安要求,訂於明年(2024年)3月1日實施,若是中、高級的資安要求,則於明年(2024年)8月1日適用。