資安即國安,為提升政府資服採購的資通安全,保障軟體業者權益,行政院工程會即日起推出《資訊服務採購作業指引》,未來公務機關必須獨立編列資安預算,且資服採購以不訂底價最有利標為原則,開發過程也須設定查核點,預料將有助於軟體產業發展。
工程會官員指出,《資訊服務採購作業指引》主要有四大重點,一是過去編列資安預算落實程度不佳,因此藉由該指引要求機關編列獨立資安預算,而該指引也要求機關應反覆檢視需求、合理編列費用(含預備費、物調費等)。
第二,擴大工程會採購諮詢機制,納入數位部提供專業意見。第三,資服採購以不訂底價最有利標為原則,各機關在招標文件明訂以固定費用決標,不議減價格。官員說,這是考量資訊業者是賣智慧的行業,應該給予合理費用,不應該出現不合理砍價。
第四,開發過程應設定查核點,反覆檢視執行成果,並要求廠商展示,如開發畫面、資料庫架構、整合測試等,定期開會追蹤檢討,若有不符合契約約定者,應立即要求廠商配合改善。
對於《資訊服務採購作業指引》上路,數位部次長李懷仁表示,希望有利於台灣軟體產業發展,讓台灣軟體業者在政府採購上用品質來爭取,而不是靠價格低廉,且讓各部會在軟體採購上有更明確依循。
依數位部111年監控情資統計,資安威脅以掃描刺探類(47.2%)、入侵攻擊類(26.9%)為最多,政府敏感資訊或民眾個資遭駭客竊取,將嚴重影響民眾對政府信任。因此,工程會、數位部與產業界合作,將資通安全管理法及數位部對各級機關的共通性資安基本要求,納入資訊服務採購契約範本,讓機關從採購端就開始建構資安防護,以提升政府資服採購的資通安全。