近年全球供應鏈日趨複雜與持續加速發展數位化,使得資安議題成為政府機關的重點施政項目,為了因應此挑戰,政府亦制定許多政策,加強、提高公部門的資安防禦能力,然而隨著駭客攻擊手法的不斷演進,特別是利用供應商的漏洞做為攻擊政府機關之跳板,儼然成為嚴重的潛在威脅,進而引發連鎖攻擊效應,因此為協助各機關強化資通安全防護,並妥善辦理資訊服務採購,便發布以下幾項實施辦法:
1. 落實資安法委外規定
除了資安基本要求之外,受託廠商包括客製化系統開發者,應提供該系統的安全性檢測證明,針對防護需求較高之系統,須執行源碼掃描、滲透測試與弱點掃描,防護需求為中或普等級,也需要執行弱點掃描。
建議採購獲得資通安全管理法採購指引推薦的OKWASP,執行弱點掃描,其他更多有關掃描工具介紹可參照防範資安漏洞該使用什麼弱點掃描工具?
2. 加強預算編列方面
機關須按比例編列資安經費預算且單獨列項,並依據各個標案的特性不同,合理性的編列費用,包含預備費、物價調整費與檢測費等。
3. 資通系統籌獲各階段資安強化措施
分為需求階段、建置階段及維運階段,各階段都需要加強對資安方面的管理,在建置階段,等級較高之系統需聘請外部資安專家協助資安管理;在維運階段,若為高防護等級之系統須辦理資安稽核。
4. 基於安全設計原則禁止遠端存取
落實安全的軟體發展,從設計前期注重資訊系統安全,導入好的軟體設計措施,減少開發過程中可能造成的資安風險,並採原則禁止、例外允許,若須遠端維護系統,應以資安法遠端存取相關規定辦理。
5. 落實資安、載明服務水準
根據資服類型會有不同的資安要求,包括非陸資、須符合國際標準 (如:ISO27001...)、符合機關資安規範、第三方檢測等,並且在合約明確規定系統服務水準 (SLA)。各類資安要求可參考政府電子採購網上所公告的各類資訊(服務)採購之共通性資通安全基本要求參考一覽表
更多有關新版資訊服務採購作業指引可參照公告之附件。