致本校教職員工生

    依據教育部函轉行政院公務機關不得使用或採購大陸廠牌資通訊產品(院臺護長字第1090201804A號函)(附件一)及公務機關如有資安外洩疑慮，可限制不得使用或採購大陸製造資通電訊產品(院臺護長字第1090094901A號函)(附件二)要求。為保障本校教職員工生個資等機敏感資料、政府獎(補)助計畫、政府委託計畫及常設機構等業務機敏感資料，請於採購核銷時務必留意購置之資通電訊(含軟體、硬體及服務)不得為中國大陸廠牌或中國大陸製造(如：聯想Lenovo...等具陸資之廠牌)，並避免經轉第三方進入台灣(即洗產地)，香港、澳門等廠牌產地應避免採購與使用。

    名詞說明：

• 中國廠牌：廠牌意旨其產品生產之母公司登記或涉及中國地區
• 中國製造：一般以硬體居多，其指生產地或其主動式零組件為中國生產或經中國加工之成品或半成品
• 中國產品：其指硬體、軟體或韌體等設計開發主要或是間皆涉及中國製造、開發或生產

    採購上開限制之中國廠牌資通電訊產品，須簽請機關首長同意後彙整報請主管機關同意後方才能請購。其他中國製造產品為加速請購之流程進行，請購之教師應簽屬「採購具連網功能中國大陸產品切結書」。綜上所述請確保公務或教學環境使用之設備依下列「公務機關使用資通訊產品原則」辦理：
      (一)公務用之資通訊產品不得使用大陸廠牌，且不得安裝非公務用軟體。
      (二)個人資通訊設備原則不得處理公務事務，亦不得與公務環境介接。
      (三)各機關應就已使用或採購之大陸廠牌資通訊產品列冊管理，且不得與公務環境介接。

    上述原則之公務事務環境亦包括政府補助、委託計畫之範圍，請務必留意。

    有關資通電訊之產品採購前如有疑問可洽詢網路作業組，為加速請購與驗收流程除有關規定要求外，由有關單位自行認定與負責無須加會本中心。

    此外，各單位請依函文要求於110年底前汰換中國廠牌資通電訊產品。

    因應近年數位發展部提倡公務機關供應鏈安全政策，如涉及公務環境或經費來源為政府獎補助或委託案之資通訊產品於採購時，請針對採購資通訊產品之完整供應鏈(包括：經銷商、代理商、原廠、轉包商、分包商....等)，進行「資通訊產品供應商與大陸地區關係暨資料所在地及跨境傳輸切結暨聲明書」(如附件)之切結聲明，以確保供應鏈安全性。請供應商切結用印後，寄送紙本至本校計網中心資安專責人員確認，本中心會將審核無誤之切結聲明書另以專區公告，供關注方檢視合規性。

    本校經數發部核定中國大陸廠牌禁用清單，包括但不限於下列清單：Apabi 、Bambu Lab、Boox、CREALITY(創想)、CRF PLASMA、CZUR、Dahua(浙江大華技術公司)、Deepseek、Dimension、DJI(深圳大疆創新科技公司)、DLAB、FOCUCY、Foscam、FOXTECH、HARMANKARDON、HOVERAir Ida drone(意念)、Hikvision(海康威視)、Hisense(海信)、Hiwonder(幻爾科技)、Huawei(華為)、Hunan Kecheng Instrument and equipment、INNO3D、Insta360、Lenovo(中國聯想) 、Korno、Livox、MEIZU(魅族)、Mercusys(水星)、MI(小米集團)、Micsig、Mind Sensor(意念精靈)、Nanhua、Nubia(努比亞)、OBSBOT、OPPO(廣東歐加控股公司／廣東行動通訊公司）、OPT Machine Vision Tech、Partulab(百力博)、QTS、REALME(真我)、RIGOL、RisingCam、RMY、Rokid、Royal(賓利皇家)、Seeed Studio、SEGWAY、Snapmaker、Sugar、Tenda、TLC、TOTOLINK、TP-Link(普聯技術公司)、vivo、YUDIAN、ZOTAC(索泰)、中興通訊、嘉兆、映眾、步進電機、石頭科技、螞蟻源科學儀器、銳太、騰達...等廠牌。(資料來源：數位發展部自111年起盤點大陸廠牌資通訊產品及委外營運公眾場域契約之評估結果)

    另本中心查相關網路與媒體報導，疑似部分產品貼牌之廠牌及產品清單，包括但不限於下列清單：BENELINK(欣永成科技)、HI SHARP/HSPro(昇銳電子)。

請購買前除核對上述清單外，並上網查核是否所購置之廠牌與中國廠牌、具中資背景或貼牌(ODM)，另請廠商提出非中國廠牌或不具中資擔保證明「資通訊產品供應商與大陸地區關係暨資料所在地及跨境傳輸切結暨聲明書」。如發現上述清單有不足或誤植之情況，請來信通報以利更新廠牌清單。

    有關下列廠牌及產品清單，廠商澄清之相關說明專區，請參閱：HYREAD(凌網知識)澄清聲明

    並將相關文件備查供主管機關稽核與調閱，如有發現違反之事實將依「資通安全管理法-公務機關所屬人員資通安全事項獎懲辦法」及相關法規辦理。

各單位採購說明表

附註：

1. 「大陸廠牌認定」由機關「從嚴認定」，所有屬大陸廠牌者，無論其原產地於我國、大陸地區或第三地區等，渠等產品均為限制之範圍
2. 「資通訊產品」參考資通安全管理法第3條用詞定義，包含：

• 軟體：資通系統，如例如應用軟體、系統軟體、開發工具、客製化套裝軟體、APP及電腦作業系統等
• 硬體：包括具連網能力、資料處理或控制功能者皆屬廣義之資通訊設備，如個人電腦、伺服器、無人機、印表機、網路通訊設備及可攜式設備及物聯網設備等
• 服務 ：資通服務，如客服服務及軟硬體資產維護服務等

3. 本案有關之函文與主管機關資料可參考如下：

    一、關於「具敏感性或國安(含資安)疑慮之業務範疇」採購工程會解釋函令：
        1.101年4月18日工程企字第10100114530號函
        2.101年9月13日工程企字第10100346580號函
        3.104年1月27日工程企字第10400024610號令
        4.104年1月27日工程企字第10400024613號函
        5.104年5月12日工程企字第10400082160號函
    二、關於「影響國家安全」採購工程會解釋函令：
        1.101年4月18日工程企字第10100114530號函
        2.101年9月13日工程企字第10100346580號函
        3.107年3月5日工程企字第10600398780號令
        4.107年3月5日工程企字第10600398783號函
    三、經濟部投資審議委員會公告陸資資訊
        1.陸資來台投資事業名錄
        2.具敏感性或國安(含資安)疑慮之業務範疇
        3.陸資投資資訊產業事業清冊   

4. 物聯網資安標章相關資訊，可參考台灣資通產業標準協會-TAICS
5. 國際資安標準檢驗規範ISO/IEC 15408(即CNS 15408)通過Common Criteria認證檢驗之產品準則範疇，可參考認識IT採購的安全認證Common Criteria | iThome
6. 針對蘋果產品之ISO/IEC 15408(即CNS 15408)通過Common Criteria清單與佐證資料，可參閱關於 Apple 安全性認證 - Apple 支援 (台灣)
7. 通過Common Criteria認證檢驗之產品查詢，可參閱Certified Products : CC Portal
8. 歐盟資安韌性法，可參閱歐盟資安韌性法(EU Cyber Resilience Act,CRA)對製造商有何影響 | 趨勢科技 (TW)

如有任何疑問，可洽計網中心 網路作業組 陳志豪 #3226

本公告為滾動式修正公告(114年5月27日更新)，請依最新公告內容為準