各位師長、同仁們，大家好：

公務機關使用資通訊產品（含軟體、硬體及服務）不得使用大陸廠牌，相關原則說明如下；另依本校107次行政會議主席裁示：請總務處保管組配合，未來若採購不符合政府規定之事項（如函示規定資通訊產品），一律不予核准。

一、    依據行政院秘書長109年12月18日院臺護長字第1090201804A號函（如附件一），公務機關使用資通訊產品（含軟體、硬體及服務）相關原則：

（一） 公務用之資通訊產品不得使用大陸廠牌，且不得安裝非公務用軟體。

（二） 個人資通訊設備不得處理公務事務，亦不得與公務環境介接。

（三） 各機關應就已使用或採購之大陸廠牌資通訊產品列冊管理，且不得與公務環境介接。

二、    依據行政院112年6月20日院授數資安字第1121000202號函（如附件二），重申各公務機關使用資通訊產品原則：

公務用資通訊產品（含軟體、硬體及服務）不得使用大陸廠牌，機關若因業務需求且無其他替代方案，仍需使用危害國家資通安全產品時，應具體敘明理由，並經機關資通安全長及其上級機關資通安全長逐級核可，函報資通安全管理法主管機關（數位發展部）核定，產品未汰換前，應加強下列資安強化措施：

（一） 強化資安管理措施，例如：設定高強度密碼、禁止遠端維護等。

（二） 產品遇資安攻擊導致顯示畫面遭置換，應立即置換靜態畫面，或立即關機。

（三） 產品若為硬體，應確認其不具WiFi等持續連網功能（非僅以軟體關閉）。若需以外接裝置方式進行更新，須有專人在旁全程監督，於傳輸完成後立即移除外接裝置。

（四） 產品使用屆期後不得再購買危害國家資通安全產品。

三、    依據數位發展部資通安全署資安常見問題「8.7. 有關雲端服務是否會提供相關參考指引？且是否有相關限制？」（https://moda.gov.tw/ACS/laws/faq/28/646#qaH744）說明如下：

（一）政府機關於建置或使用雲端服務時，請參考國家資通安全研究院網站之共通規範專區所公布「政府機關雲端服務應用資安參考指引」（https://www.nics.nat.gov.tw/cybersecurity_resources/reference_guide/Common_Standards/），其內容包括共通資安管理規劃、IaaS、PaaS、SaaS以及自建雲端服務等資安控制措施。

（二）為使政府機關於建置或使用雲端服務時，降低可能之風險，相關資安要求事項如下：

1. 應禁止使用大陸地區（含香港及澳門地區）廠商之雲端服務運算提供者。
2. 提供機關雲端服務所使用之資通訊產品（含軟硬體及服務）不得為大陸廠牌，執行委外案之境內團隊成員（含分包廠商）亦不得有陸籍人士參與，就境外雲端服務之執行團隊成員，至少應具備相關國際標準之人員安全管控機制，並通過驗證。另，雲端服務提供者自行設計之白牌設備暫不納入限制。
3. 機關雲端資料之存取、備份及備援之實體所在地不得位於大陸地區（含香港及澳門地區），且不得跨該等境內傳輸相關資料。

註1：已知常見大陸廠牌包括但不限於：聯想集團（Lenovo）、大疆創新科技公司（DJI）、海康威視（Hikvision）、普聯技術公司（TP-Link）、小米集團（MI）、閃鑄三维公司（Flashforge）、嵐鋒創視（Insta360）、吉翁電子公司（TOTOLINK）、華為（Huawei）、廣東歐加控股公司／廣東行動通訊公司（OPPO）、大華技術公司（Dahua）、潛行創新科技公司（CHASing）、臻迪（PowerVision）、好利來科技公司（HOLLYLAND）、維沃公司（vivo）、文石信息科技有限公司（BOOX）、道通航空公司（AUTEL）、創想三維（Creality）、成者創想科技（CZUR）、福斯康姆（Foscam）、海信（Hisense）、科大訊飛（iflytek）、深圳機智連接（iZYREC 、PLAUD NOTE）、方正（Apabi Reader）等。

註2：若無法認定是否為大陸廠牌時，建議多利用共同供應契約採購相關設備，或請廠商提供非大陸廠牌證明文件。

註3：已知非大陸廠牌但禁用之軟體：Zoom。

註4：已使用或採購之大陸廠牌資通訊產品如已達使用年限，應盡速報廢；未達使用期限者，應停止使用並訂定汰換期程。

如有任何問題請來電詢問 計網中心網路組 蔡先生21301、魏先生21302、盧先生21300