政府機關重新審視 資服採購標案合理性
政府機關和廠商採購資訊服務時,在招標階段因沒有完整的預算、服務內容規範機制,導致雙方難在品質、價金上取得平衡。九月甫上線《資訊服務採購作業指引》,除了保障公家單位、資訊服務商能在對等的條件下合作,更重要的是未來政府單位的「資安預算」應獨立編列,以及杜絕「回饋項目」風氣。
文/孫敬
為促進台灣政府機關和資訊服務提供業者,在滿足政府對高資安防護解決方案需求同時,兼具廠商該有的利潤空間,公共工程委員會、數發部偕同資訊與資安業者,攜手擬定《資訊服務採購作業指引》,並在今年 9 月 25 日,由行政院政務委員兼工程會主委吳澤成正式發函給各政府機關。
未來公部門資訊服務採購標案,均能以此做參考,提出保障雙方利益、又能符合高規格資安需求的資訊服務合作方案。
採購作業指引明確劃分預算標準,保障資訊服務業者利潤
台灣政府機關過往釋出資訊服務採購標案時,公家單位與合作廠商,因為合約內容尚未執行,雙方很難在標案執行前、中、後掌握完整採購細項需求,再加上公部門採購標案多奉行「底價後議價」模式,預算編列緊逼廠商成本,實際執行採購內容項目,經過雙方來往修正調整服務內容,常導致廠商利潤不敷成本,進而影響交付的產品、服務品質,導致政府機關使用廠商的資訊服務時,面臨資安漏洞、曝於駭客攻擊的風險。
[ 推薦閱讀:【專訪】金管會綜合規劃處長胡則華 ]
為此,公共工程委員會舉辦聽取產業意見的研討會,詳細說明修改的精神與內容。公共工程委員會副主委葉哲良指出,政府就像個大企業,廠商跟政府做生意,實力上是不對等的,《資訊服務採購作業指引》便是以改善政府機關和廠商合作的價格、品質、效率、資安出發。
與公共工程委員會合作密切的數發部對此表示,在正式《資訊服務採購作業指引》通過前,今年三月,數發部便開始試辦「最有利標」搭配「固定費用或費率」的精進辦法,採購標案釋出時就已註記完整的方案與最後得標金額,廠商不再需要跟公家單位重新議減價格爭取標案,標案釋出的金額就是廠商最後能拿到的預算,這對參與採購標案的廠商來說,比拚的不再是價格,而是自家提供的服務內容和創意,截止至今年七月,已有五件採購案導入試辦規範。
資安預算需獨立列項
考量到資訊服務來往測試,對廠商增加需求產生的額外成本,以及採購標案可能橫跨新一年度帶來的物價、人力支出上漲,公共工程委員會科長陳宗佑補充,資服採購標案預算編列,應考量時空背景、未來原料、人工漲幅等因素,必要時在標案中撥付「備用金」以備不時之需,且資服採購標案使用到的「資安預算」需「獨立編列」,這筆預算將用於資安檢測,作為履約、驗收查驗使用,項目涉及內容均要列出費用細節供雙方參考。
三階段需具體列出固定費用
數發部說明,政府機關跟廠商採購「招標前置作業」、「招標」、「決標」三個階段,已規範需具體列出「固定費用或費率」細節內容,有望揮別公家單位和廠商,執行採購標案內容產生的變動性支出,即便雙方來往修改調整的內容、新增需求時,也應合理增加經費及期程價格,保障廠商不會面臨虧損,使產品、服務品質受到影響。
- 「招標前置作業」:正式招標前,政府機關需先擬定固定費用或費率及參考依據,如個案特性、服務內容多寡、難易度、所需工作人力、薪資行情,若有歷年費用或費率可參考,可延續使用。沒有先前的資料可參考時,將視情況公開請廠商提供參考資料,或舉辦說明會了解廠商服務費用,讓廠商有機會對機關規範提出調整建議,來確保固定費用合理性,且需求符合業界收費標準。
- 「招標階段」:政府機關對外招標文件,需載明固定費用或費率,廠商價格超過該費率則為不合格。廠商在投標文件,也要詳列組成該費用或費率的內容,陳述的所有資訊會做為評選的參考。
- 「決標階段」:此階段不再進行議減價格,也不得更改原招標文件規定內容、降低廠商投標文件所述的承諾內容,並依照原訂固定費用或費率決標,業者如自願降低價格,則依低價格來決標,報價高於固定費用或費率則不予決標。
杜絕回饋亂象嚴令禁止
值得一提的事,在以往資訊服務採購標案「最有利標」和「底價後議價」時空背景下,資服務業者跟政府機關招標評選時,會遇到評選委員要求提供回饋的狀況,亦或是答詢時要求提供優惠,在《資訊服務採購作業指引》通過之後,現已明訂不得認列回饋項目,反之鼓勵公家單位在評選項目,加入創新、創意項目內容,讓資服業者都能公平的參與評選,在依照招標文件通過評選,便是最終得標的廠商。
資安入規 陸資均不得涉入服務商
《資訊服務採購作業指引》替資訊服務採購標案的政府機關、廠商,在品質、價格上有個統一的標準,但根據公共工程委員會科長陳宗佑釋出的調查顯示,公務機關通報的資安事件,自民國 109 年至 111 年 3 年間共計 1,818 起,且多集中在「非法入侵」並有逐年攀升的趨勢,陳宗佑認為電子化政府在「軟體」、「人員」、「網通」三者間,需確保資料安全,才能維持良好服務水平。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
公共工程委員會對此拋出的解方,回溯到資訊服務採購「源頭」設立保護機制,將欲採購的系統資安分級訂為「普通」、「中等」、「高級」三種,套用現今公家機關常見的 7 大資訊服務採購類型「雲端微服務(SaaS)」、「雲端平台」、「資服規劃」、「資安規劃」、「系統開發」、「功能擴充」、「系統維護」,產出一份完整資安分級要求的服務水準(Service-Level Agreement,SLA)契約。
系統依照資安分級的不同,直接影響到資安審查的標準,以普通和中等級來說,廠商至少要執行弱點掃描,高級含以上則要執行滲透測試及源碼掃描,並視採購標案需要,請廠商提供安全佐證資料,像是多因子認證、零信任安全、滲透測試、國際認證(ISO27001)等。
SLA 內容的制訂,中間過程需求要明確、過程也需要多次確認,系統分級要求的資料或佐證各有不同,唯一共同點在於服務商不可為陸資企業,共同開發或再轉交第三方開發的公司,也同等受各資安分級和陸資等規範限制。
(本文授權非營利轉載,請註明出處:CIO Taiwan)