一、為推動資通安全管理法(以下簡稱本法)第五條第一項所定資通安全
整體防護事宜,強化中央與地方機關(構)、公立學校、公營事業及
行政法人(以下簡稱各機關)之資通安全防護,降低國家資通安全風
險,特訂定本原則。
二、本原則所稱危害國家資通安全產品,指對國家資通安全具有直接或間
接造成危害風險,影響政府運作或社會安定之資通系統或資通服務。
三、本法主管機關應基於國家安全、國際情資分享、潛在風險及衝擊分析
等因素,蒐集相關機關意見綜合評估,據以核定生產、研發、製造或
提供前點產品之廠商清單。
本法主管機關應定期檢視前項核定之廠商清單,並依前項因素重新評
估後,視需要調整。
四、各機關除因業務需求且無其他替代方案外,不得採購及使用第三點之
廠商產品。
各機關必須採購或使用第三點之廠商產品時,應具體敘明理由,經本
法主管機關核可後,以專案方式購置,並列冊管理及遵守下列規定:
(一)應指定特定區域及特定人員使用。
(二)不得與公務網路環境介接。
(三)不得處理或儲存機關公務資訊。
(四)測試或檢驗結果應產出報告。
(五)購置理由消失,或使用年限屆滿應立即銷毀。
五、各機關應依下列規定定期辦理資產盤點:
(一)對本原則生效前已使用之第三點之廠商產品,應於廠商清單提供後
三個月內列冊管理,不得與公務網路環境介接,並應移至非敏感或
非重要環境。
(二)前款之廠商產品已屆使用年限者,應於廠商清單提供後,即刻編列
預算於該年度內汰除;未達使用年限者,應定明汰除期限。
六、各機關應向所屬人員宣導使用危害國家資通安全產品之風險。
七、中央目的事業主管機關應督導本法所定關鍵基礎設施提供者及政府捐
助之財團法人,參考本原則之規定辦理。