中研院統計所資訊室

資訊安全 資訊室公告

中央研究院大陸廠牌資通訊產品配合事項

By沈 穎志

3 月 19, 2026

一、不得使用大陸廠牌資通訊產品

依行政院來函:為避免公務及機敏資料遭不當竊取,導致機關機敏公務資訊外洩或造成國家資通安全危害風險,公務用之資通訊產品不得使用大陸廠牌。

資訊產品定義:參考資通安全管理法第3條用詞定義,包含軟體、硬體及服務等項,另具連網能力、資料處理或控制功能者皆屬於廣義之資通訊產品。

大陸廠牌認定:「從嚴認定」所有屬於大陸廠牌者,無論其原產地於我國、大陸地區或第三地區等,廠牌產品均不得使用。

禁用範圍:範圍為全機關,非僅機關內部資訊單位或特定單位,且包含委外廠商及其分包廠商。

公務機關使用資通訊產品原則:

  • 公務用資通訊產品:不得使用大陸廠牌。不得安裝非公務用軟體。不得下載安裝大陸地區軟體(含App)。
  • 公務活動:不得使用大陸地區所提供之平臺或服務。
  • 個人資通訊設備:原則不得處理公務事務。原則不得與公務環境介接。
  • 使用中資通訊產品(已使用或採購之大陸廠牌資通訊產品):列冊管理,並限期汰換。不得與公務環境介接。
  • 新購資通訊產品,機關於辦理採購時:應確實於招標文件規定不允許大陸地區廠商參與。不得採購大陸廠牌資通訊產品。禁止使用Deepseek製作書面履約成果,並增訂通案之生成式AI使用條款。

二、限制使用原則

資通安全管理法第11條規定略以(原參考數位發展部「各機關對危害國家資通安全產品限制使用原則」第四點已廢止)各機關因業務需求且無其他替代方案,必須採購或使用危害國家資通安全產品:

  • 應具體敘明理由
  • 經機關(本院)資通安全長及本院上級機關(總統府)資安長逐級核可
  • 函報資通安全管理法主管機關(數位發展部)核定
  • 以專案方式購置,並列冊管理

本院限制使用原則:

若因本院學術研究需求(無其他替代方案),須採購(使用)大陸廠牌資通訊產品(如學術資料庫、AI服務與軟體等)。

  1. 於採購(使用)前先行函報本院資訊服務處,並具體敘明理由及資安防護措施。
  2. 資訊服務處完成上級機關陳報及完成核定後,函復申請單位,方可憑依採購(使用)核定產品。
  3. 完成採購或開始使用後請將產品列冊管理,並於各單位提供資通安全作業管考系統提報大陸廠牌資通訊產品盤點資料時,填報列冊資訊。

三、本院資安防護措施

(一)學術資料庫:

若本院各單位因學術研究需求確有使用大陸學術資料庫之必要,為強化其資安防護措施,包含建置連線專用主機,使用者電腦必須透過該專用主機才能連線,並禁止直接連線大陸學術資料庫,以提升使用者連線安全性,且前揭連線專用主機另有資安防護。

  1. 存取大陸學術資料庫之連線均會留存連線紀錄。
  2. 安裝防毒軟體、Xensor(端點防護程式)及導入SOC(SecurityOperationCenter),監控主機異常連線或程式。
  3. 建置系統及設定檔異動監控機制。
  4. 限定院內特定IP存取。 

(二)AI服務及軟體

依行政院來函,本院原則全面禁用中國提供之網路服務與軟體(含DeepSeekAI)。
若本院各單位因學術研究需求確有使用之必要,須依規定報准核可且採取必要管制措施(如下)後再行使用;若有其他非下列所述之使用模式,須先與資訊服務處討論防護機制。

  • 下載至不含公務與敏感資料的電腦(設備)使用。

方案1:離線模式操作

  • 下載完畢後,設備須切換為離線模式。
  • 並須遵循本院學術研究區網段分艙管理之第1級控制措施。

方案2:有網路連線需求

  • 設定防火牆進行最小程度開放。
  • 並須遵循本院學術研究區網段分艙管理之第2級控制措施。

四、其他相關議題

(一)非中國大陸廠牌設備由中國大陸維護服務者:

應視個案產品(含硬體、軟體及服務)風險,評估是否有其他替代方案,並透過適當控制措施,審慎評估處置以降低資安風險。

(二)如涉及委外資通系統之維護、遠端存取資通系統或資通訊設備之移出移入,應至少辦理下列防護措施:

管控措施:對送修之資通訊設備採取適當管控措施,以確保該設備及資料之可用性、完整性及機密性(如移除機敏資料或送回後進行安全檢測)。

選任及監督:應注意選任及監督受託者以符合資通安全及遠端存取之系統防護需求。

遠端存取管理:開放遠端存取期間以短天期為限,並建立異常行為管理機制,遠端存取結束後,應更換遠端存取通道(如VPN)登入密碼。

參考資料

選任及監督:應注意選任及監督受託者以符合資通安全及遠端存取之系統防護需求。

遠端存取管理:開放遠端存取期間以短天期為限,並建立異常行為管理機制,遠端存取結束後,應更換遠端存取通道(如VPN)登入密碼。

  1. 行政院109年12月18日院臺護長字第1090201804A號函(公務用之資通訊產品不得使用大陸廠牌)。
  2. 行政院114年3月31日院授數資安字第1141000253號函(公務機關原則全面禁用DeepseekAI等大陸廠牌資通訊產品)。
  3. 資通安全管理法第11條
  4. 中央研究院大陸廠牌資通訊產品配合事項
  5. 不建議使用APP清單

本院相關公告及規範

  1. 114年2月10日資訊服務字第1141500150號書函(本院原則全面禁用DeepSeekAI以及其他由中國提供之AI服務與軟體)。
  2. 113年8月28日資訊服務字第1131500971號書函(本院學術研究區段分艙作業)。

By 沈 穎志

Related Post

資訊安全 資訊室公告

本院資安目標及資安政策宣導

5 月 7, 2026 沈 穎志
資訊安全

本院115年度資通安全維護計畫之精進重點工作及應辦事項相關資料

5 月 6, 2026 沈 穎志
資訊安全 資訊室公告

(更新)本所ISMS資訊安全管理系統文件-程序書和表單

5 月 3, 2026 沈 穎志

You missed

資訊安全 資訊室公告

本院資安目標及資安政策宣導

7 5 月, 2026 沈 穎志
資訊安全

本院115年度資通安全維護計畫之精進重點工作及應辦事項相關資料

6 5 月, 2026 沈 穎志
資訊安全 資訊室公告

(更新)本所ISMS資訊安全管理系統文件-程序書和表單

3 5 月, 2026 沈 穎志
資訊安全 資訊室公告

中央研究院大陸廠牌資通訊產品配合事項

19 3 月, 2026 沈 穎志