
類別:資訊保護【案號:S10701】遭勒索病毒攻擊 美亞特蘭大市政癱瘓5天
【焦點話題】
美國亞特蘭大市政府於2018年3月遭勒索病毒SamSam攻擊,雖然緊急報案和供水系統等仍正常運作,但與民生息息相關之線上繳費等系統仍受到嚴重影響。駭客要求該市政府支付價值5.1萬美金的比特幣,並限期一週內付款,方予以解索。亞特蘭大市政府表示不會支付贖金,並已掌握駭客的身分,且無員工或其他個人資料外洩,但也因勒索病毒攻擊,市政府除原分配3,500萬美元的IT預算,將追加950萬美元,用以恢復受衝擊之市政系統。
【參考資料來源:自由電子報,107/3/29;iThome,107/6/11】
【重點摘要】
- 比特幣被認為是去中心化的電子加密貨幣,多數國家則認為比特幣屬於虛擬商品,並非貨幣,而我國亦採低度監理的原則,不視比特幣為貨幣,而是虛擬商品,貨幣間的交易,屬於商品與商品間的交換。
- 為降低資安事件發生之風險,組織應定期進行資安訓練,宣導資訊安全事件對組織之影響,以及預防、因應之方式等資訊。
【法律觀點】
本案之SamSam勒索軟體,係透過「變更」使用者電腦或其設備之電磁紀錄,以達癱瘓政府機關電腦、設備之效果,而刑法第359條規定:「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。」,因此有關侵入他人電腦,進行檔案加密、變更電磁紀錄之部分,行為人可能因而構成妨害電腦使用罪。
其次,按刑法第346條規定:「意圖為自己或第三人不法之所有,以恐嚇使人將本人或第三人之物交付者,處六月以上五年以下有期徒刑,得併科一千元以下罰金。以前項方法得財產上不法之利益,或使第三人得之者,亦同。」而比特幣被認為是去中心化的電子加密貨幣[1],我國採取低度監理的原則,不視比特幣為貨幣,而是虛擬商品,以虛擬貨幣交易購買商品時,屬於商品與商品間的交換,也就是以物易物[2],因此,駭客除侵入電腦之行為外,另要求被害人給付貨幣(本案為比特幣),方解除加密狀態,也就是以比特幣作為勒索政府單位支付以解除癱瘓的對價,故亦觸犯刑法第346條之罪。
另外,此種利用惡意程式癱瘓公務機關電腦之情形,因行為人之妨害電腦使用行為係針對公務機關所為,因此依刑法第361條之規定:「對於公務機關之電腦或其相關設備犯前三條之罪者,加重其刑至二分之一。」更要加重刑度。
【管理Tips】
「電子化政府」是政府機關運用資訊與通信科技形成網網相連,並透過不同資訊服務設施(包括電話、網際網路、公用電腦站等),對機關、企業及民眾在其方便之時間、地點及方式下,提供自動化服務之總體概念[3]。但在建立電子化政府提供政府服務時,應將資訊安全列為重要事項,以確保資料、系統、設備及網路安全[4]。本案中,為恢復受勒索病毒攻擊之市政系統,亞特蘭大市須增加950萬美元之支出,因此,如何強化資訊管控措施是所有組織均需面對之課題。
而資訊控管區分為事前及事後,事前控管包括平日定期進行教育訓練,宣導資訊安全事件對組織的影響、拒絕下載來路不明的盜版軟體、注意社交工程郵件以及重要資料時常備份外,組織亦可透過諸如定期檢查「安全性更新」或限制員工使用網際網路等主動之網路控制措施,均可有效降低侵害發生;而當資安事件發生後,應及時通報並且迅速進因應,同時保存相關紀錄做為證據,並於改善缺失後,從事件中學習相關經驗,以降低未來再度發生事故之風險。
【相關標準】
ISO 27001:2013(CNS 27001)
- A.7.2.2 資訊安全認知、教育及訓練
- 標準內容:
|
組織所有員工及相關之承包者,均應接受與其工作職能相關的組織政策及程序之適切認知、教育及訓練,並定期更新。
|
- 適用說明:
|
如果組織對其員工或相關之承包者能進行有效之教育訓練,而使本案電腦受侵害之相關人員,平時均恪守教育訓練之指示,善盡社交工程之注意、軟體之定期更新等事項,應可有效降低惡意軟體所造成之受害程度。
|
- A.12.2.1 防範惡意軟體之控制措施
- 標準內容:
|
應實作防範惡意軟體之偵測、預防及復原控制措施,並合併適切之使用者認知。
|
- 適用說明:
|
新興之惡意軟體攻擊日益頻繁,組織平時即應針對相關惡意攻擊軟體進行預防性工作,且熟捻遭攻擊後之因應措施,本案中,如組織能隨時讓電腦和軟體保持最新狀態,對於點擊連結或下載資料或開啟電子郵件附件或圖片時能格外小心,或可有效避免系統遭受侵害。
|
- A.12.3.1 資訊備份
- 標準內容:
|
應依議定之備份政策,定期取得資訊、軟體及系統的影像備份複本,並測試之。
|
- 適用說明:
|
為避免無法預期之資料毀損或侵害,以降低損失風險,定期進行相關資料之有效備份是防止資訊損失的最後防線,本案中,若組織善盡對於相關資訊之備份,於電腦遭受攻擊後,相關資訊仍得以保存,所受損失亦可減少。
|
- A.13.1.1 網路控制措施
- 標準內容:
|
應管理及控制網路,以保護資訊系統及應用。
|
- 適用說明:
|
現今網路空間之陷阱層出不窮,若得以適當將部分有問題之網域限制連網,亦可降低惡意程式由網頁攻擊之風險,本案中,如組織如可將對外連網與內部資料電腦予以實體切割,將內部資料電腦之連網採取限制或是根本性的禁止非必要連網活動,將可有效降低重要電腦設備遭植入惡意軟體等造成系統受侵害之可能性。
|

類別:資訊保護【案號:S10702】臉書保護個資不力 祖克柏:我很抱歉
【焦點話題】
社群網站臉書(Facebook)執行長祖克柏(Mark Zuckerberg)針對英國諮詢機構「劍橋分析」(Cambridge Analytica)以不當手段獲取海量臉書用戶資料,最終導致臉書計有8,700萬名用戶個資外洩,以及未能有效打擊假新聞所造成的傷害,向歐洲議會道歉。祖克柏表示本於「歐盟通用資料保護規則」(GDPR)精神,臉書將依照新規定調整至符合歐盟通用資料保護規則之要求,並推出多項新功能,包括特殊「清除歷史」鈕,允許用戶刪除所有儲存的暫存檔或瀏覽歷史。
【參考資料來源:中央社,107/5/23】
【重點摘要】
- 組織於蒐集個人資料時,依個人資料保護法第8條規定,應告知當事人蒐集目的、蒐集資料類別、個人資料利用之期間、地區、對象及方式、當事人權利及行使方式以及不提供個資之權益影響等相關事項,俾使當事人能知悉其個人資料被他人蒐集之情形。
- 依個人資料保護法第20條規定,合法蒐集的個人資料,原則上仍應在蒐集之特定目的必要範圍內為之,也就是於蒐集時所告知當事人的特定目的,僅在特定情形下得為特定目的外之利用。
【法律觀點】
「劍橋分析事件」起源於劍橋大學研究人員Aleksandr Kogan的研究公司Global Science Research(GSR)在2013年打造了一款名為「thisisyourdigitallife」的性格分析臉書應用程式,並透過臉書使用者下載,該程式取得了30萬名臉書用戶的居住位置及「按讚」內容等個人資料,並依當時臉書使用者政策,進而取得這些用戶好友的個人資料,共計超過5000萬人的個資,而GSR再與英國資料分析業者劍橋分析(Cambridge Analytica)分享所取得的資料。
不過,據臉書表示,該程式在使用者下載時其實是有同意提供個人資料予程式設計者以及第三方單位作為「學術用途」使用,因此GSR取得個人資料是經過使用者同意的,而依臉書使用者與臉書之間的使用者條款,GSR取得該程式使用者的好友個人資料也是符合相關規定,但因劍橋分析於使用個人資料時,並未依照與程式使用者間的承諾,僅供學術用途,因此,事件之爭議係有問題的資料使用,而非資料之違法取得。
考量個人資料之蒐集涉及當事人隱私權益,為使當事人知悉個人資料被何人蒐集及其蒐集之目的等資訊,故我國個人資料保護法(下稱個資法)規定,除有免為告知之法定情形外[5],組織於蒐集個人資料時,應告知當事人諸如蒐集目的、蒐集資料類別、個人資料利用之期間、地區、對象及方式、當事人權利及行使方式以及不提供個資之權益影響[6]等相關事項,俾使當事人能知悉其個人資料被他人蒐集之情形,並了解到最終個人資料會被何人利用、如何利用、在哪些地方被利用以及利用的期間為何,也就是個人資料被蒐集、處理及利用的情況應予透明化。同時,當事人若對於其個人資料欲主張停止蒐集、處理或利用等相關權利時,組織亦應予以配合[7]。
而合法蒐集的個人資料,不代表可以任意使用,原則上仍應在蒐集之特定目的必要範圍內為之,如有超出特定目的範圍,僅得在特定情形下得為特定目的外之利用[8]。
本案若發生於我國,按個資法規定,對於個人資料之利用,如無可為特定目的外利用之特定情形卻為特定目的外利用,則由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之[9]。
【管理Tips】
消費者在使用網路上的免費服務時,為避免個人資料外洩或其他不利益情事之發生,應妥善知悉使用者條款內容。而網路服務業者提供免費服務,從而蒐集個人資料時,亦應注意是否符合個人資料保護法等相關法令規範。
而組織於利用個人資料時,亦應注意:一、應確認蒐集個人資料時,所告訴被蒐集者之告知事項內容,尤其是蒐集個人資料之特定目的,以及個人資料利用之期間、地區、對象及方式,因這是在利用個人資料時,所應遵守之事項。二、如果在上開個人資料蒐集目的中,找不到所要利用的特定目的時,則應確認有無得為特定目的外之利用的情形。
【相關標準】
ISO 27001:2013(CNS 27001)
- A.18.1.1 適用之法規及契約的要求事項之識別
- 標準內容:
|
對每個資訊系統及組織,應明確識別、文件化及保持更新所有相關法律、法令、法規及契約要求事項,以及組織為符合此等要求之作法。
|
- 適用說明:
|
本案如發生在我國,組織應明確識別相關法令,並依相關法令之要求執行業務,方可確保其工作之合法性。
|
ISO 29100:2011(CNS29100)
- 5.6 利用、持有及揭露原則
- 標準內容:
|
堅持利用、持有及揭露限制原則,意指下列事項。
-PII之利用、持有及揭露(包括移轉)限制於為履行特定、明確及合法目的所必要者。
-除非適用之法律明確要求不同的目的,否則將PII之利用限制於蒐集之前PII控制者所規定之目的。
持有PII之時間長度,僅為滿足所陳述目的必要的長度,並於之後安全地將其破壞或匿名化。
-一旦所陳述目的逾期,但依適用法律要求保留下,鎖住(亦即將PII歸檔、保全及免除進一步處理)所有PII。
當PII於國際間傳輸時,PII控制者亦知悉所有跨國傳輸之國家或當地額外特定要求。
|
- 適用說明:
|
本案中,GSR將所蒐集到的個人資料提供與劍橋分析,雖GSR有告知蒐集之目的以及可能提供所蒐集到的個人資料予第三方,但如GSR提供給劍橋分析之目的與GSR蒐集個資時告知被蒐集者之目的不同時,將是目的外利用之行為,而違反利用原則。
|

類別:資訊保護【案號:S10703】主管機關駁斥手機廠商:「未取得」資安認證!
【焦點話題】
日前外國資安業者指出一款名為「RottenSys」的惡意程式入侵了全球約500萬台的Android手機,其中不乏知名大廠中招。隨後,手機廠商則刊出聲明,指其產品皆取得主管機關認證並合格上市,並無安全之虞。惟對此主管機關則發出新聞稿表示:「依電信法第42條第1項規定,針對手機之電信介面、電磁相容及電氣安全進行型式認證檢測,檢測範圍並不含手機內建軟體之資安檢測」。換言之,主管機關之電磁檢驗因性質與軟體不同,並無法為手機的資安能力背書。此外,主關機關雖有推動手機內建軟體之資安檢測,範圍包含出廠預載軟體、授權銷售商加載軟體,以及無圖示軟體等,但目前該手機廠商所生產之手機款式並未取得上述手機內建軟體之安全認證。主管機關呼籲各手機廠商不得以通過主管機關之「型式認證」,混稱其手機內建軟體亦取得「資安保證」,而應自主辦理智慧型手機內建軟體之資通安全認證。
【參考資料來源:自由電子報,107/3/28】
【重點摘要】
- 電信法第42條、電信終端設備審驗辦法以及依其所訂定之行動寬頻業務寬頻終端設備技術規範,均在處理針對實體設備之相關問題,而設備內所載之軟體並無直接相關。
- 智慧型手機系統內建軟體資通安全檢測技術規範對智慧型手機之安全分層訂定檢測項目,包括:資料使用授權、資料儲存保護、資料遺失保護、程式身分辨識、程式信任來源、程式執行授權、程式執行安全、協定使用授權、協定傳輸保護、協定執行安全、系統操作授權、系統身分辨識、系統執行安全、金鑰管理保護以及演算法強度要求等,通過分級檢測後方得稱通過該層級之安全檢測技術規範,符合各層級之程度資安要求。
【法律觀點】
電信法係為健全電信發展,增進公共福利,保障通信安全及維護使用者權益而制定[10],同法第42條則要求連結第一類電信之電信終端設備應符合一定技術規範[11],同時電信終端設備則指任何數位或類比設備,其以無線或有線傳輸媒介,與公眾電信網路之終端點介接,並以光或電磁波方式進行通信之設備[12],因此,現代人日常生活不可或缺的智慧型手機亦包括在內,業者於製造、販售時亦須符合法規要求。
而電信法所要求於我國販售之電信終端設備應通過相關技術規範,該要求主要係為確保:[13],一、不得損害第一類電信事業之電信機線設備或對其機能造成障礙;二、不對第一類電信事業之電信機線設備之其他使用者造成妨害;三、第一類電信事業設置之電信機線設備與使用者連接之終端設備,應有明確之責任分界;四、電磁相容及與其他頻率和諧有效共用;五、電氣安全,防止網路操作人員或使用者受到傷害。綜合上開要求,係為處理實體設備之相關問題,而依電信法第42條第1項及電信終端設備審驗辦法第4條第2項所訂定之「行動寬頻業務寬頻終端設備技術規範」,則仍係以電信法第42條所要求的實體設備及使用者的傷害訂定測試項目及合格標準[14],包括功率限制等實體設備之測試,其所要求之技術規範與手機內建軟體之資安檢測並無相關。
因此,本案之手機製造商所聲稱通過資安認證與實際狀況並不相符,消費者於購買時僅能確認智慧型手機本身的硬體安全性應屬無虞,但並無法據以認定已符合足夠之資安認證,如其需符合相關資安標準,仍應滿足如「智慧型手機系統內建軟體資通安全檢測技術規範」等對於智慧型手機系統內建軟體之檢測。
【管理Tips】
網路與通訊無遠弗屆,智慧型手機基於高度可攜性與便利性,有效提升生產力與工作效率,但隨之而來,使用者也必須面對智慧型手機上網後所帶來的資安威脅。有鑒於此,國家通訊傳播委員會於106年3月參考國際標準ISO/IEC 15408及歐美等國之作法,發布「智慧型手機系統內建軟體資通安全檢測技術規範」[15],作為智慧型手機製造商、經銷商、電信業者及資通安全檢測實驗室辦理檢測之依據。
相關業者依上開規範之要求,在開發過程中或辦理檢測時,將手機系統及其內建軟體進行測試,並將安全等級區分為初級檢測、中級檢測以及高級檢測[16],並依其檢測條件、檢測方法及所對照之判定標準,進行通過與否之確認。而依據國際間對智慧型手機安全之分層概念,將智慧型手機安全分層區分為資料層、應用程式層、通訊協定層、作業系統層及硬體層等五個層別,考量不同層別可能面臨的資通安全風險有所不同,對各層別分別訂定檢測項目[17],包括:資料使用授權、資料儲存保護、資料遺失保護、程式身分辨識、程式信任來源、程式執行授權、程式執行安全、協定使用授權、協定傳輸保護、協定執行安全、系統操作授權、系統身分辨識、系統執行安全、金鑰管理保護以及演算法強度要求等項目。開發者依上開文件之要求,在開發過程中,應注意到各層別之檢測項目之注意事項[18],以確保智慧型手機系統及其內建軟體,符合現階段資通安全要求。
【相關標準】
ISO 27001:2013(CNS 27001)
- 14.2.1 保全開發政策
- 標準內容:
|
應建立軟體及系統開發之規則,並應用至組織內之開發。
|
- 適用說明:
|
行動裝置上網佔有率已超越桌機,智慧型手機之相關營收亦年年成長,而製造商因開發智慧型手機必載內建軟體方可驅動,因此無論是出廠預載軟體、銷售商加載軟體或是無圖示軟體,均可依據主管機關所提供之開發APP相關資安規範,建立自己的APP開發規則,使所開發之APP符合法規要求。
|

類別:資訊保護【案號:S10704】名店資料被駭 女客遭詐騙28萬控店家未通知
【焦點話題】
台北糕餅名店107年1月發生會員資料遭盜取事件,導致不少會員接到詐騙電話,一名王小姐表示,她日前接到一通自稱糕餅名店客服人員之來電,該人員稱因資料輸入錯誤,每月會從其帳戶扣款1800元會費,隨後又接到一名自稱銀行客服之來電,要求王小姐到ATM進行變更操作,避免被扣除會費,她信以為真,將戶頭內共28萬元存款,全數匯到對方帳戶,事後聯絡糕餅名店,才驚覺自己遭受詐騙。糕餅名店客服表示發現雲端會員遭駭客盜取後,隨即於官網公告,並逐一發送簡訊及電子郵件通知會員,且擔心會員沒收到,每三至五天就發送一次,雖糕餅名店強調,被盜取的僅有會員訂購單資料並沒有個資,目前也只有一名受害者,但公司資料被盜是事實,也已強化電腦之加密機制,避免再有資料外洩情況。
【參考資料來源:三立新聞網,107/3/12】
【重點摘要】
- 依個人資料保護法第12條規定,公務機關或非公務機關管理之個人資料,如有被竊取、洩漏、竄改或其他侵害者,應於查明後通知當事人,以使當事人得以知悉個人資料遭違法侵害之情事,並及時採取補救措施或提起救濟。
- 按個人資料保護法施行細則第22條規定,個資外洩事件之通知方式,指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式,且如果費用所需過鉅時,亦得考量技術之可行性及當事人隱私之保護後,以網際網路、新聞媒體或其他適當之公開方式為之。
【法律觀點】
近年來個人資料外洩事故頻傳,當組織違反個人資料保護法(下稱個資法)規定,導致相關事故發生時,為免損害擴大,個資法即要求該組織應查明後,以適當方式通知當事人[19]。故組織違反個資法致個資外洩時之通知,所應作為之事項如下:首先,應於查明事件相關事項後,組織則可採言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式,若通知費用所需過鉅時,亦得考量技術之可行性及當事人隱私之保護(不揭示可直接或間接識別當事人之個人資料),以網際網路或新聞媒體或其他適當之公開方式[20],通知當事人個人資料被侵害之事實及已採取之因應措施[21],此外,若組織屬網際網路零售業或網際網路零售平台業者,除前段應通知之項目,須另外提供「諮詢服務專線」[22],且如所發生者為重大事故,更應依主管機關指定之機制進行通報及進行後續處理[23]。
就本案而言,應先確認該公司是否為登記資本額為新臺幣1,000萬元以上之股份有限公司或已受指定之公司或商號[24],如是,則據「網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法」之規定[25],以及參照前述法務部要求之相關事項,該糕餅名店應將個資外洩之事實、所採取之因應措施及後續供當事人查詢之專線與其他查詢管道,通知受影響之當事人。
【管理Tips】
一般來說,發生個資事故時,對內必須向上通報,予以適當調查及處理,以防止事態的蔓延及擴大;對外則視事故之嚴重性,決定是否需要對外發布相關訊息。另外,組織所發生之資訊安全事件涉及個人資料被竊取、洩漏、竄改或其他侵害時,則應在查明事件原因後告知當事人,且當組織為網際網路零售業時,必須依法告知應對措施及服務專線。同時,除解決個案問題外,組織也需進行問題核心之分析,並以此為借鏡,降低再次發生類似事件之機率。
【相關標準】
ISO 27001:2013(CNS 27001)
- A.16.1.2 通報資訊安全事件
- 標準內容:
|
應循適切之管理管道,儘速通報資訊安全事件。
|
- 適用說明:
|
資安事件、事故發生時,儘速透過適當窗口通報予相關單位、主管機關,以降低事件、事故發生之衝擊。本案如係涉及網際網路零售時,事發單位依網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法第8條之規定,於發現個資外洩後儘速通報予權責機關,並將相關內容一併通知當事人,應可有效降低個資外洩所造成之損害風險。
|

類別:資訊保護【案號:S10705】遭澳洲稱5G危及國家安全 中國大陸通訊設備大廠聲明反擊
【焦點話題】
澳洲政府於2012年禁止某中國大陸通訊設備廠供應其全國寬頻網路(National Broadband Network, NBN),於2018年5月更是力阻該通訊設備廠建造澳洲與索羅門群島間的網路纜線。澳洲政府此舉恐是擔憂中國大陸企業掌控其通訊基礎設施,並於近期的5G通訊設施投標案仔細審查該廠。而該通訊設備廠澳洲區董事長及董事發表聯合聲明反擊澳洲政府,表示:「我們是一家獨立經營的公司,並沒有其他的單位參與,在我們運營的170國家的每一個國家,我們都遵守所在國的法律和規則。不這樣做的話,我們的業務一夜之間就完了。[26]」而英國、加拿大、紐西蘭皆已接受該公司的5G測試提案,願意評估、確認是否遵守數位安全協定。
【參考資料來源:自由電子報,107/6/18、Reuters,107/6/18】
【重點摘要】
- 標的屬於財物採購時,依臺灣地區與大陸地區人民關係條例第35條第3項規定,並非所有與大陸地區的貿易行為均予以禁止,但允許輸出入之品項以及管理等應遵行事項授權須由有關主管機關擬訂,並報請行政院核定。
- 標的屬於工程及技術服務採購中資訊服務採購時,依行政院公共工程委員會工程企字第10400024613號函要求,需求單位應先行評估採購標的是否屬經濟部投資審議委員會公告「具敏感性或國安(含資安)疑慮之業務範疇」,而經濟部投資審議委員會所公告「具敏感性或國安(含資安)疑慮之業務範疇」包括能源類、水資源類、通訊傳播類、交通類、金融與銀行類、緊急救援與醫院類、中央政府與地方機關與科技園區與工業區中被選定之重要系統。
【法律觀點】
政府採購法之立法目的在於提升採購效率與功能,確保採購品質[27]。因此機關辦理採購時,得依實際需要,設定投標廠商之基本資格,且如為特殊或巨額之採購,須由具有相當經驗、實績、人力、財力、設備等之廠商始能擔任者,得另規定投標廠商之特定資格[28],藉以確保採購品質[29]。
然而,因為我國與大陸間的特殊關係,因此在為政府採購時仍應特別注意。
標的屬於財物採購時,依臺灣地區與大陸地區人民關係條例第35條第3項[30]規定,並非所有與大陸地區的貿易行為均予以禁止,但允許輸出入之品項以及管理等應遵行事項授權須由有關主管機關擬訂,並報請行政院核定。而依該項所訂定之臺灣地區與大陸地區貿易許可辦法則對可輸入之大陸地區物品為正面表列[31],如非屬允許得由大陸地區輸入台灣地區之品項者,即不得輸入,而其中得輸入之品項並不包括資通安全設備,且依主管機關公告准許輸入品項亦必須以不危害國家安全及對相關產業無重大不良影響者為限[32]。
而如標的屬於工程及技術服務採購中資訊服務採購時,依行政院公共工程委員會工程企字第10400024613號函要求,各機關辦理資訊服務採購,需求單位應先行評估採購標的是否屬經濟部投資審議委員會公告「具敏感性或國安(含資安)疑慮之業務範疇」,並於簽辦採購文件中載明,如屬前開業務範疇者,應依「投標廠商資格與特殊或巨額採購認定標準」第4條第1項第6款[33]規定,確實於招標文件載明不允許經濟部投資審議委員會公告之陸資資訊服務業參與。
而目前經濟部投資審議委員會所公告「具敏感性或國安(含資安)疑慮之業務範疇」[34]包括能源類、水資源類、通訊傳播類、交通類、金融與銀行類、緊急救援與醫院類、中央政府與地方機關與科技園區與工業區中被選定之重要系統。
綜上可知,如案例中之情形發生於我國,則我國政府機關應先判斷是單純財物採購或是資訊服務採購,如是單純財物採購,因所採購品項係屬涉及資通安全之設備,並不在臺灣地區與大陸地區貿易許可辦法中得為採購的正面表列清單,依法不得採購;而如為資訊服務採購,因通訊傳播中通訊網路維運支援相關系統屬於「具敏感性或國安(含資安)疑慮之業務範疇」,故亦不允許經濟部投資審議委員會公告之陸資資訊服務業[35]參與。
【管理Tips】
按行政院公共工程委員會針對政府採購訂定多項範本,包括資訊服務採購契約範本,因此政府機關在辦理與資訊及通訊安全有關採購時,得應循辦理,而資訊服務採購契約範本針對於廠商之資訊安全責任[36]有下列規定:
1.廠商應遵守行政院所頒訂之各項資訊安全規範及標準,並遵守機關資訊安全管理及保密相關規定。此外機關保有對廠商執行稽核的權利。
2.廠商交付之軟硬體及文件,應先行檢查是否內藏惡意程式(如病毒、蠕蟲、特洛伊木馬、間諜軟體等)及隱密通道(covert channel),並於上線前應清除正式環境之測試資料與帳號及管理資料與帳號。
3.契約履約或終止後,廠商應刪除或銷毀執行服務所持有機關之相關資料,或依機關之指示返還之,並保留執行紀錄。
4.廠商所提供之服務,如為軟體或系統發展,須針對各版本進行版本管理,並依照資安管理相關規範提供權限控管與存取紀錄保存。
5.廠商提供服務,如發生資安事件時,必須通報機關,提出緊急應變處置,並配合機關做後續處理。
6.廠商應確實執行組態管理(Configuration Management),以確保系統之完整性及一致性,以符合機關對系統品質及資訊安全的要求。
7.廠商如違反第1目至第6目規定,應適用第15條之違約責任,並就機關所受損害負賠償之責;如致他人權利受有損害時,廠商亦應負責。
而一般民間組織如需相類似的資安服務,或可參考資訊服務採購契約範本,透過契約規範,作為廠商之資訊安全責任依據。
【相關標準】
ISO 27001:2013(CNS 27001)
- A.7.1 聘用前
- 標準內容:
|
確保員工及承包商瞭解其將承擔之責任,且適任其角色。
|
- 適用說明:
|
委託承包商提供資訊服務,在現代專業分工下相當常見。政府機關於選任資訊服務之承包商時,須依照政府採購之相關規範挑選合適的承包商或限定承包商之資格;一般組織亦可仿此精神,在選定委外廠商時,進行必要之背景調查,並汰除不合適之廠商,以保障組織採購資訊服務之安全與品質。
|