數位部修正資安法明定公部門禁用危害國家資安產品,資安署表示,這份清單分為網路類、系統類、資料庫類等10多個大類,目前掌握約有1000多個列管項目,其中有1/5跟資料庫、電子書有關,列管產品將要求限期汰換或提高資安規格。
數位部資安法修法日前預告,禁止公部門採購與使用危害國家資通安全產品,不過這份名單並未公開。數位部長唐鳳說明,主要考量軟體服務很容易改名,也可能公布名單後馬上「洗產地」。
立法院交通委員會審查113年度中央政府總預算案關於數位發展部單位預算時,
數位部長唐鳳答詢表示,盤點中國可實質控制的軟體、服務與硬體產品等,確實有些部會還在使用,會限期汰換,若還在使用,會需要斷網使用等。
針對還在使用因此特別列管的產品,數位部資安署長謝翠娟表示,舉例來說,有些部會因為業務需要查詢中國資料庫、讀相關論文,所以需要特別請資安長簽核使用。
立委擔心會不會公部門外包的下游廠商還是可能採購或使用危害國家資安產品,唐鳳表示,
- 第一,像是先前修正「各機關對危害國家資通安全產品限制使用原則」,台鐵廣告看板這類型場域也要包含在契約規範中。
- 第二,公部門共同供應契約中,會有2個機關以上都在使用的產品,機關可以從中挑選,等於是「白名單」,如果完全是沒看過的品牌或產品等,可以再來跟數位部詢問,希望引導購買沒有疑慮的產品。
唐鳳表示,目前資安規定納入政府的資訊採購中,公部門採購品項工程會跟數位部可以去檢視,產品如果上網更新漏洞,資安署也會知道是否有使用相關產品等。
謝翠娟會後受訪時表示,對公部門來說,多數可用產品是正面表列,目前向數位部查詢每月平均約20多件。
危害國家資通安全產品清單分成10幾個大類,有網路類、系統類、資料庫類、機器人等類型,1000多個列管項目中,大約有1/5跟資料庫、電子書有關。
媒體詢問這些列管中的產品何時可以全數汰換,謝翠娟表示,公部門特別列管的數量約1000多個產品,使用年限到期就要汰換,但部分產品因當地沒有其他選擇,還是可能繼續使用,確實無法完全汰換。
謝翠娟說明,部分外館因為當地沒有其他電信商可選擇,因此必須使用相關產品,畢竟還是要上網,但就必須加上更嚴格的控制措施,包含防火牆、資安防護、網路封包檢測等。
本文轉載自中央社。