有關本校採購或使用資通訊產品(軟體、硬體及服務)為中國大陸廠牌與產品注意事項

致本校教職員工生

    依據教育部函轉行政院公務機關不得使用或採購大陸廠牌資通訊產品(院臺護長字第1090201804A號函)(附件一)及公務機關如有資安外洩疑慮,可限制不得使用或採購大陸製造資通電訊產品(院臺護長字第1090094901A號函)(附件二)要求。為保障本校教職員工生個資等機敏感資料、政府獎(補)助計畫、政府委託計畫及常設機構等業務機敏感資料,請於採購核銷時務必留意購置之資通電訊(含軟體、硬體及服務)不得為中國大陸廠牌或中國大陸製造(如:聯想Lenovo...等具陸資之廠牌)。

 

    採購上開限制之資通電訊產品須簽請機關首長同意後彙整報請主管機關同意後方才能請購,為加速請購之流程進行,請購之教師應簽屬採購中國大陸廠牌及製品切結書(附件三) ,確保教學環境使用之設備依下列「公務機關使用資通訊產品原則」辦理:
      (一)公務用之資通訊產品不得使用大陸廠牌,且不得安裝非公務用軟體。
      (二)個人資通訊設備原則不得處理公務事務,亦不得與公務環境介接。
      (三)各機關應就已使用或採購之大陸廠牌資通訊產品列冊管理,且不得與公務環境介接。

    上述原則之公務事務環境亦包括政府補助、委託計畫之範圍,請務必留意。

    有關資通電訊之產品採購前如有疑問可洽詢網路作業組,為加速請購與驗收流程除有關規定要求外,由有關單位自行認定與負責無須加會本中心。

    此外,各單位請依函文要求於110年底前汰換中國廠牌資通電訊產品。

 

    本校經數發部核定中國大陸廠牌報廢清單,包括但不限於下列清單:Apabi 、Boox、CREALITY(創想)、CRF PLASMA、CZUR、Dahua(浙江大華技術公司)、Dimension、DJI(深圳大疆創新科技公司)、DLAB、FOCUCY、Foscam、FOXTECH、HARMANKARDON、Hikvision(海康威視)、Hisense(海信)、Hiwonder(幻爾科技)、Huawei(華為)、Hunan Kecheng Instrument and equipment、HYREAD、INNO3D、Insta360、Lenovo(中國聯想) 、Korno、Livox、MEIZU(魅族)、Mercusys(水星)、MI(小米集團)、Micsig、Mind Sensor(意念精靈)、Nanhua、Nubia(努比亞)、OBSBOT、OPPO(廣東歐加控股公司/廣東行動通訊公司)、OPT Machine Vision Tech、Partulab(百力博)、QTS、REALME(真我)、RIGOL、RisingCam、RMY、Royal(賓利皇家)、Seeed Studio、SEGWAY、Snapmaker、Sugar、Tenda、TLC、TOTOLINK、TP-Link(普聯技術公司)、vivo、YUDIAN、ZOTAC(索泰)、中興通訊、嘉兆、映眾、步進電機、石頭科技、螞蟻源科學儀器、銳太、騰達...等廠牌。(函文附件:有關111年盤點大陸廠牌資通訊產品及委外營運公眾場域契約之評估結果)

請購買前除核對上述清單外,並上網查核是否所購置之廠牌與中國廠牌或具中資背景,另可請廠商提出非中國廠牌或不具中資擔保證明。如發現上述清單有不足或誤植之情況,請來信通報以利更新廠牌清單。

 

    並將相關文件備查供主管機關稽核與調閱,如有發現違反之事實將依「資通安全管理法-公務機關所屬人員資通安全事項獎懲辦法」及相關法規辦理。

各單位採購說明表

  危害國家資通安全產品 中國廠牌 中國產品-具連網功能 中國產品-不具連網功能 政府採購網-集中採購之品項
行政單位(註1)

須經數發部核可

原則須經數發部核可

部分放寬(註4)

原則不

部分放寬

(註2註3註6)

由單位自行判定無機敏感資料洩漏疑慮或不涉及機敏感(含個資)資料,即依相關採購規定辦理。 可(註5)
教學單位行政體系(註1)

政府獎(補)助、委託之計畫
(如教育部、科技部、經濟部...等)
(亦含招策會、聯合會...等)

教師(個人研究室)
教師(學生研究室) 有條件

(註2註3註6)

教師(教學使用)

註1:若行政人員因建置教學用電腦教室或一般教室,則可採以「教師(教學環境)」方式辦理。

註2:有關我國政府機關限制採購大陸產品部分,現行各機關可依據本院公共工程委員會107年12月20日工程企字第1070050131號函,機關辦理資訊、電訊或通訊設備採購,如認廠商所供應之財物或勞務之原產地為大陸地區,有影響國安(含資安)或機敏資訊外洩之疑慮者,可於招標文件中明定廠商所提供之財物或勞務之原產地不得為大陸地區,進而限制大陸地區之財物或勞務參與。

註3:考量部分中國製造產品已依據國際資安標準檢驗規範ISO/IEC 15408(即CNS 15408)通過Common Criteria認證檢驗之產品或物聯網設備其型號具TAICS物聯網資安標章2級以上標章者,應無資安疑慮。故採購時若產品符合CommonCriteria成員國政府衍生訂定之產品安全標準 (如我國所核發有效期限內之「共同準則檢驗證明」 、 美國NIAP 、澳洲ACA 、南韓ITSCC、新加坡CSAS及其他成員國等安全認證產品)或經本國財團法人全國認證基金會(TAF)認證名錄所示檢測單位其開立之資通訊產品無資安疑慮相關證明。並於採購時要求出示產品符合標準之證明,則不具有國安(含資安)或機敏資訊(含個資)外洩之疑慮,故符合本項條件者不在此限。(有關說明,可另參考附註4、附註5)

註4:委託方有書面經數發部公文同意者不在此限,數位發展部於111年11月28日修訂「各機關對危害國家資通安全產品限制使用原則」,已經不再將「不得與公務網路環境介接」列為有條件使用之情況,故不得再採購與使用,並應立即辦理報廢事宜

註5:產學計畫委託方有書面同意者不在此限;若以政府機關獎(補)助或行政委託經費,須報請獎(補)助或委託之主管機關書面同意後始得採購,如經相關管道仍無法取得書面同意者,其使用範圍僅限課程教學或研究使用時可切結後採購,亦不得涉及公務機敏感資料(含個資)。此外非經主管機關同意不得涉及研究計畫,另由請購人自行判定研究專利與論文是否有資安風險並自行承擔。

註6:政府採購網集中採購之共同供應契約項目主責機關-行政院公共工程委員會應已善盡把關義務,故應不具有國安(含資安)或機敏資訊外洩之疑慮

 

以上但書之風險由相關人員自行承擔,若經稽查發現逾越規範涉及機敏資料或因故發生機敏資料洩漏及資安事件,將依相關法規與獎懲辦法辦理。

 

附註:

  1. 「大陸廠牌認定」由機關「從嚴認定」,所有屬大陸廠牌者,無論其原產地於我國、大陸地區或第三地區等,渠等產品均為限制之範圍
  2. 「資通訊產品」參考資通安全管理法第3條用詞定義,包含:
  • 軟體:資通系統,如例如應用軟體、系統軟體、開發工具、客製化套裝軟體、APP及電腦作業系統等
  • 硬體:包括具連網能力、資料處理或控制功能者皆屬廣義之資通訊設備,如個人電腦、伺服器、無人機、印表機、網路通訊設備及可攜式設備及物聯網設備等
  • 服務 :資通服務,如客服服務及軟硬體資產維護服務等
  1. 本案有關之函文與主管機關資料可參考如下:

    一、關於「具敏感性或國安(含資安)疑慮之業務範疇」採購工程會解釋函令:
        1.101年4月18日工程企字第10100114530號函
        2.101年9月13日工程企字第10100346580號函
        3.104年1月27日工程企字第10400024610號令
        4.104年1月27日工程企字第10400024613號函
        5.104年5月12日工程企字第10400082160號函
    二、關於「影響國家安全」採購工程會解釋函令:
        1.101年4月18日工程企字第10100114530號函
        2.101年9月13日工程企字第10100346580號函
        3.107年3月5日工程企字第10600398780號令
        4.107年3月5日工程企字第10600398783號函
    三、經濟部投資審議委員會公告陸資資訊
        1.陸資來台投資事業名錄
        2.具敏感性或國安(含資安)疑慮之業務範疇
        3.陸資投資資訊產業事業清冊   

  1. 物聯網資安標章相關資訊,可參考台灣資通產業標準協會-TAICS
  2. 國際資安標準檢驗規範ISO/IEC 15408(即CNS 15408)通過Common Criteria認證檢驗之產品準則範疇,可參考認識IT採購的安全認證Common Criteria | iThome
  3. 針對蘋果產品之ISO/IEC 15408(即CNS 15408)通過Common Criteria清單與佐證資料,可參閱關於 Apple 安全性認證 - Apple 支援 (台灣)

 

如有任何疑問,可洽計網中心 網路作業組 陳志豪 #3226

本公告為滾動式修正公告(113年10月28日更新),請依最新公告內容為準