電子化政府里程碑 資訊服務採購作業指引上路
接軌資訊科技發展潮流,政院公共工程委員會正式公佈資訊服務採購作業指引,作為各機關打造資訊系統時的資安規範參考。
採訪/施鑫澤‧文/林裕洋‧刊期/2023.11
在眾所期待下,2023 年 9 月 25 日行政院公共工程委員會正式公佈「各類資訊(服務)採購之共通性資通安全基本要求參考一覽表」、「資訊服務採購作業指引」,作為各機關資訊系統相關資安防護等級的資安規範參考。前者由機關視個案特性將所列資安事項納入契約辦理,為使廠商有適切時間因應,普級部分之資安要求訂於 2024 年 3 月 1 日正式施行,中、高等級則訂於 2024 年(明年) 8 月 1 日正式施行。至於後者可立即作為公務幾關辦理資訊服務採購之作業指引,實施時間則比照前述日期。
行政院公共工程委員會副主委葉哲良說,國家要朝向電子化政府發展過程中,必須要有一套完善與安全的資訊架構,即透過人員、軟體、網通、程序之間的搭配,達到確保資料安全、良好服務水準的目的。考量到各機關之資訊、資安事項多採委外辦理,而在資訊科技變遷快速下,各機關在落實資通安全管理上面臨不少挑戰。
為協助各機關即時有效強化資通安全防護及妥適辦理資訊服務採購,行政院公共工程委員與數位發展部、資訊服務、資通安全產業界、及相關公協會合作攜手合作,制定出符合趨勢的法案。另為強化機關資訊服務採購需求明確、合理編列費用及減少履約爭議,資訊服務採購作業指引則從採購全生命週期著手,提醒機關辦理資訊服務採購應注意事項。
此外,因應此次修正作業,金管會也表示,金融業者資料上雲業務所涉與資訊業者契約訂定的相關問題,也會由工程會及數位部協助處理。
費用合理編列 滿足專案實務需求
2016 年臺灣開始推動資安等於國安的政策,除透過多元策略扶植臺灣資安產業成長之外,2018 年行政院也推出為期 8 年的資安產業發展行動計畫,明定經費規模超過 10 億元以上的政府計畫,至少要編列 5% 資安經費。只是面對日益嚴峻資安攻擊,首先是 5% 預算經費遠遠不夠,難以有效保護公務機關的安全。其次,採購人員不一定具備資訊、資安專業,以致於無法在預算階段編列合理費用,招標階段也無法明定相關需求,最終往往在契約執行階段上,才發現無法滿足實際需求的狀況。
在最新公布的政府資訊服務採購作業指引中,涵蓋預算編列、招標決標、契約執行等三大環節,而第一個重點在於費用合理編列。在預算編列部分,首先是按比例編列資安預算並單獨列項,第一部分需依「六大核心戰略產業推動方案」下「資安卓越產業」之推動策略,各機關所提出的中、長程計畫,應依其資訊建設經費編列一定比率之資安經費。
第二部分則是要求機關辦理資訊服務採購,應依實際需求估算資安經費額度,且採取單獨計列的方式。另外,亦須依數位發展部(下簡稱數位部)「資通系統籌獲各階段資安強化措施」之要求達一定經費比例,如因實務作業無法達成上開要求,應敘明原因及擬採行之資安作為。
葉哲良指出,為因應系統開發過程可能發生之需求新增或變動,而衍生出必要費用,資訊服務採購作業指引也加入機關得預估可能所需之額外人月數,編列預備費,未來履約階段於該費用額度內,依實際使用數量結算給付。另外,考量相關資訊系統開發於履約及驗收時,機關要求廠商辦理檢測,應預估檢測所需費用,編列檢測費,依契約給付檢測費。如屬逾一年之長期服務契約,機關得於契約載明每年服務費用因應物價,或薪資指數調整之計算方式。
決標者不議減價格 評選項目不得列回饋
在費用合理編列的前提下,資訊服務採購作業指引於招標決標階段也有兩個重點,分別是載明固定價格決標者不議減價格、評選項目不得列「回饋」項目。首先,依採購法第 52 條第 2 項規定,公告金額以上資訊服務採購以不訂底價最有利標為原則,請機關於招標文件明定以固定費用決標,不議減價格。 其次,為提升採購效益及評選廠商服務之差異,評選項目得列「創意」項目,但不得列「回饋」項目。於採購評選委員會辦理評選時,亦不得於答詢過程中要求廠商提供機關優惠回饋,經採購評選委員會依招標文件規定評選出優勝廠商,即代表該廠商投標文件內容已被接受,不應再強制要求廠商修正。
「為推動國家資通安全政策,發展零信任網路資安防護環境,資通安全責任等級 A 級公務機關,應依數位部規劃進程導入零信任網路,以完善政府網際服務網防禦深廣度。」葉哲良解釋:「在確保公務機關安全下,公務機關應該以數位部的政府骨幹網路(GSN)為基礎,建置跨機關資料傳輸專屬通道(T-Road)管理平臺。若資通安全責任等級 A 級公務機關其履約標的涉跨機關資訊傳輸,應評估透過上級主管機關介接或自行介接 T-Road 通道,由資料需求機關依規定向資料提供機關提出申請。」
另外,為避免發生需求與招標不符的狀況,資訊服務採購作業指引明定依照數位部公布的資通系統籌獲各階段資安強化措施,若資訊服務採購標的如涉及機關核心資通系統,採準用最有利標方式辦理者,評選委員應包含至少一位資安專業人員。如非採準用最有利標方式辦理者,機關辦理資通系統籌獲案之團隊應至少包含一位資安專業人員,以擇定具資安能力之廠商。
需求反覆確認 預算發揮最大效益
過往政府採購法最令人詬病之處,在於無法符合實務需求,所以資訊服務採購作業指引第二個重點為需求反覆確認。為避免前述狀況發生,預算編列部分有兩個重點,分別是「必要時先行辦理系統整體規劃」、「依法得洽廠商提供意見」。
首先,公務機關建置新系統或系統重大變更時,若有必要需先行辦理系統整體規劃,評估先行編列預算辦理系統整體規劃或(及)資安規劃之必要性,依三層式(資料底層、應用層、使用者介面層)資訊系統開發架構,自行或委託廠商規劃系統架構、分析功能需求、開發資料底層等前置工作,並納入安全系統開發生命周期(SSDLC)規劃,後續再另案委託其他廠商辦理應用層及使用者介面開發。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
為避免發生過往常見規格與需求差異極大的憾事,資訊服務採購作業指引在深化及細化需求前提下,要求公務機關辦理需求訪談時,應反覆檢視及要求廠商展出相關資訊,如示意圖、流程圖或雛型等,確認符合需要後,再允許廠商進行程式開發。
「另外,機關應就廠商履約工作內容、各類履約人員成本,得參考行政院主計總處薪情平臺、勞動部職類別薪資資料、政府電子採購網資訊人員薪資資料等,以及軟體維護、軟體授權費等項目,並參酌市場行情、國際市場、物價水準等,核實編列預算。」葉哲良解釋:「編列後得依政府採購法第 34 條第 1 項但書規定,於政府電子採購網公開向廠商說明,並請廠商提供意見及參考資料。」
文件載明服務水準 以利合理估價及遵循
資訊服務採購作業指引在招標階段,也明白指出公務機關亦須在招標文件中載明服務水準及品質需求,如正常運作時間百分比、運作資源消耗、修復時間、系統反應時間、錯誤率、系統與通訊保護完整性等資通系統防護控制措施、跨平台/跨瀏覽器支援程度、使用者感受等。依據個案採購類型及需求,妥適選擇必要項目,並於招標文件載明,以利廠商合理估價及遵循。
當然公務機關在招標階段時,也須要求投標廠商提出資訊服務建議書之內容,應包括請廠商載明執行規劃方式,如需求訪談、系統分析、系統設計、開發、測試作法及預計時程等,並於開標後審視及評估廠商是否確實了解及符合機關需要。
葉哲良說,最後在契約階段,應依系統開發各階段載明查核點,反覆檢視執行成果並要求廠商展示,如開發畫面、資料庫架構、使用流程、功能測試、整合測試等,並定期開會追蹤檢討,查核時間不列入工期計算。如經查核有不符合契約約定及機關需要者,應即要求廠商配合改善,非可歸責於廠商者,應依查核狀態調整履約期間。
此外,葉哲良認為,針對軟體及資料庫的雲端話是目前資訊服務的發展主流,相關預算的科目及編列方式亦應能因應雲端化的趨勢,例如編列為資本門等作法,這將會透過主計處與數位部來共同研議。
接軌國際趨勢 禁止使用中國品牌設備
在地緣政治影響下,不少中國製的資訊產品都發現有惡意程式或後門軟體,可能成為駭客竊取的管道,因此美國、歐盟等都明定政府機關採購案,不得使用中國製設備。所以資訊服務採購作業指引也接軌國際趨勢,要求機關應妥適訂定相應之投標廠商資格,如涉及國家安全或資通安全之採購,機關應於招標文件規定不允許陸資廠商(含其分包廠商)及陸籍人士參與。陸資廠商包含大陸地區廠商、第三地區陸資廠商及在臺陸資廠商。
另為利後續系統維護管理及功能增修,機關應儘量以取得著作財產權之授權利用為優先,包括轉授權或再製權等。履約項目如涉及機關既有資通系統之修改或資料介接,機關應善盡定作人之協作義務,提供必要之原始碼或協助廠商間之協調;另亦應落實要求廠商依約履行義務並交付成果(包含原始碼)。
葉哲良說,資訊服務採購作業指引明定,履約標的或執行過程不得提供或使用中國廠牌之資通訊產品,履約人員不得為中國籍人員。若因業務需求且無其他替代方案,仍需使用危害國家資通安全產品時,應具體敘明理由,並經機關資通安全長及其上級機關資通安全長逐級核可,函報資通安全管理法主管機關(數位部)核定,產品未汰換前,並應加強相關資安強化措施。
在資訊服務採購作業指引是以資服採購契約為範本進行修正,可望在短期內可達成「改善、確保機關資安防護強度」,以及「提升採購效率、減少履約爭議」等效益,長期可落實「以政府採購引導產業資安能力」、「費用合理,營造產業成長環境」等兩大目標。在行政院公共工程委員會規劃中,後續並視科技發展動態更新資安要求,避免資安破口事件的發生,提升政府單位資訊系統的資安防護能力。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
