各機關對危害國家資通安全產品限制使用原則

一、    為避免公務及機敏資料遭不當竊取，導致機關機敏公務資訊外洩或造成國家資通安全危害風險，行政院前已發布「各機關對危害國家資通安全產品限制使用原則」，明確要求中央與地方機關（構）、公立學校、公營事業、行政法人以及自行或委外營運提供公眾活動或使用之場地，限制使用危害國家資通安全產品，並以行政院秘書長109年12月18日院臺護長字第1090201804A號函，重申公務用之資通訊產品不得使用大陸廠牌，且不得安裝非公務用軟體。
二、    為因應新型態數位服務延伸之新興資安風險，行政院114年3月31日院授數資安字第1141000253號函，再次重申各公務機關應遵循前述規定，並請配合辦理以下事項：
(一)    公務用之資通訊產品不得使用大陸廠牌，且不得安裝非公務用軟體。
(二)    各機關應就已使用或採購之大陸廠牌資通訊產品列冊管理，且不得與公務環境介接。
(三)    前開產品未汰換前，應有適當配套措施或相應作為，例如：
１、    以不含個資及資料的電腦單機將其下載並以斷網或非公務網路之獨立網路使用。
２、    強化資安管理措施，例如：設定高強度密碼、禁止遠端維護等。
３、    產品遇資安攻擊導致顯示畫面遭置換，應立即置換靜態畫面，或立即關機。
４、    產品若為硬體，應確認其不具持續連網功能（非僅以軟體關閉）。若需以外接裝置方式進行更新，須有專人在旁全程監督，於傳輸完成後立即移除外接裝置。
５、    產品使用屆期後，不得再購買危害國家資通安全產品。
６、    訂定適當配套管制措施，並將使用情形列入年度稽核檢視項目。
(四)    公務機關全面禁用Deepseek AI等大陸廠牌資通訊產品，倘因業務需求且無其他替代方案，必須採購或使用前開產品時，應具體敘明理由，經機關資安長及其上級機關資安長逐級核可，函報《資通安全管理法》主管機關數位發展部核定後，以專案方式購置列冊管理。另教學及研究場域之使用原則，則依教育部與國家科學及技術委員會另定規範辦理。