請依 「大陸廠牌資通訊產品及委外經營公眾場域盤點原則 」盤點大陸廠牌資通訊產品,如有請回報資訊室沈穎志。
為避免公務及機敏資料遭不當竊取,導致機關機敏公務資訊外洩或造成國家資通安全危害風險,使用資通訊產品(含軟體、硬體及服務)相關原則:
- 公務用之資通設備不得使用中國大陸廠牌,且不得安裝非公務用軟體。
- 個人資通設備不得處理公務事務,亦不得與公務環境介接。
- 各機關應就已使用或採購之中國大陸廠牌資通訊設備列冊管理,且不得與公務環境介接,並儘速汰換。
- 後續不得採購大陸廠牌資通訊產品。
業務需求且無其他替代方案,仍需使用危害國家資通安全產品時,應具體敘明理由,並經機關資通安全長及其上級機關資通安全長逐級核可,函報資通安全管理法主管機關(本部)核定外,產品未汰換前,應加強下列資安強化措施:
- 強化資安管理措施,例如:設定高強度密碼、禁止遠端維護等。
- 產品遇資安攻擊導致顯示畫面遭置換,應立即置換靜態畫面,或立即關機。
- 產品若為硬體,應確認其不具WiFi等持續連網功能(非僅以軟體關閉)。若需以外接裝置方式進行更新,須有專人在旁全程監督,於傳輸完成後立即移除外接裝置。
- 產品使用屆期後不得再購買危害國家資通安全產品。
如果公務機關在不得已的情況下,只能採用中國製造的資通訊產品時,必須獲得該機關以及上級機關兩位資安長的同意,並且跟數位發展部報備後,並將使用的資通訊產品造冊列管。
各機關如需採購或使用中國製資通產品時,也應該敘明理由、經本法主管機關核可後,以專案方式購置並列冊管理,且需遵守指提供特定區域和特定人員使用;不得使公務網路環境介接;不得處理或儲存機關公務資訊;測試或檢驗結果應產出報告;當購置理由消失或使用年限屆滿,應該立即銷毀。
參閱連結: