由公共工程委员会和产业讨论后,协同数位部公布针对政府相关的云端服务采购,公布了最新版的「资讯云端服务采购契约范本」,这也是未来政府机关执行云端采购标案时的参考。
当金管会开放金融业者上云后,政府也已经正视这股趋势,体认到云端服务已经是政府资讯服务采购的某一种主流。为了便利招标的政府机关单位,以及预计投标的资讯服务业者,行政院公共工程委员会(简称工程会)协同数位发展部,在汇整产业意见后,于日前(5月17日)正式公布「资讯云端服务采购契约范本」(业界简称云端采购范本)。
时任行政院公共工程委员会副主委叶哲良表示,因应资讯云端化及循环经济的趋势,政府以取得云端服务代替传统购买的模式,将成为资讯采购的主流,但不论是采购人员的心态、与会计制度、采购契约的内容,都必须有新思维、新转变;因此,工程会协同数位部透过凝聚各方的专业及共识,建立云端服务专用的契约范本,引导机关迈向云端。
「云端采购范本」是依照政府采购法第63条第1项规定,要求政府各類采购契约以采用公共工程委员会订定的范本为原则,且该采购范本内容,是工程会与相关公协会、厂商讨論后一起订定的,适用范围为提供既有软体系统转换 至云端服务、云端服务(SaaS)及云端平台(PaaS/IaaS)公有云与私有云的线上服务。
另外,叶哲良也说,在资安部分,也将统计各部会年度资安经费占IT的占比,并与全球相关领域数据做比对,以作为政府施政时的参考,达到资安与国安同时兼顾的目标。
不过,此次云端采购范本正式版本公告后,我们可以发现有些意外的变化。原本工程会和产业界讨论时,有设立一条希望可以透过「保险」来转嫁机关和资服业者风险的条文,但最后在正式版本中该保险条文则被删除,不论是保护自己的专业责任险、防范骇客入侵的第三责任险,或者是以数据保护为核心的资安险等,都从正式版本中被拿掉。
云端采购范本属于服务采购,不适用于设备类的租赁转移合约
叶哲良指出,这个「资讯云端服务采购契约范本」是由甲方的机关拟好所需要的内容,再提供给乙方的资服业者看内容是否合适,这主要提供给机关编列采购云端服务时的契约范本参考,包括各种SaaS、PaaS或IaaS等公云或私云的云端服务的采购,并不适用于租赁到期后将财产转移给机关的作法,这种租赁转移大多为资本门为主的设备采购案。
他进一步解释,这份「资讯云端服务采购契约范本」是参考原本的资讯手册修改而来,过去太过重视硬体采购,现在应该改成服务采购的概念,若是机关在采购云端服务之余仍需要额外的硬体设备,就应该另外采购硬体设备,不应该将硬体和服务采购混在一起。
叶哲良指出,以目前政府采购的预算编列方式,硬体采购多以资本门的编列为主,但资讯或资安服务采购则多以经常门科目进行编列,预算法对于资本门有专属的定义,立法院进行预算审查时,有时候会采取统一删除经常门多少百分比的方式,造成政府资讯或资安服务采购预算编列不足。但他认为,在现在资讯和资安服务比重逐渐增加时,机关应该妥善编列预算,取得所需的资讯或资安服务,也是一大考验。
明列禁用陆籍人士和产品,禁在中港澳跨境资料传输
这个云端采购范本总计有21条条文,在这次订定云端采购范本中,有几项重要条文值得关注。叶哲良指出,第8条「履约管理」的条文中,第8-3-1条中,明确规定「厂商执行本案之团队成员(含分包厂商)不得为陸籍人士(系指接触本采购案资料之人员)」。
但这中间可能会遇到一些云端服务业者在境外提供相关云端服务,此时该如何限制陆籍人士不得参与该专案呢?叶哲良回答:「境内采用国籍管理,境外则采用资料流管理的方式,确保资料流经的节点,都不会有陆籍人士。」
第19条「保密及安全需求」条文中,在第19-5条中也明确规范,提供服务的业者,不可以使用大陆厂牌的资通讯软体、硬体或云端服务等;第19-6条更清楚规定,云端资料储存地点不得位于大陆(含香港及澳门)境内,并不得在中港澳地区做跨境资料传输。
明订业者需提供6个月以上日志档,契约结束后保留日志档6个月
虽然《资通安全管理法》主要是规范公务机关以及特定非公务机关,但根据云端采购范本中的第15条「权利及责任」条文中,第15-14条「资通安全责任」的规定,在第15-14-1条便明确要求投标的厂商,必须遵守《资通安全管理法》以及相关子法与行政院颁订各项资通安全规范及标准,也必须遵守机关资通安全管理及保密的相关规定。若以供应链的概念来看,提供公务机关资讯、资安和云端服务的业者,一旦顺利得标,都会受到《资通安全管理法》的规范。
其中,提供和保留云端服务系统的各种日志档(Log),也是此次云端采购范本中,有详细规范的项目。例如,第15-14-2条明定:厂商要提供云端服务与履约标的的相关日志,包括:应用程式日志(AP Log)、登入日志(Logon Log)、网站日志(Web Log,若无法提供,厂商提出证明,经机关同意后得免提供)、作业系统日志(OS Event Log)和其他保存期限至少6个月的相关日志。
第15-15条明定:厂商于终止或解除云端服务采购契约或履约完成后,应该要提供前6个月云端服务与履约标的相关的日志记录,否则机关得依比率,不发还保证金。
第17条「契约终止、解除及暂停执行」条文中,其中第17-11-6条明确规范「厂商提供之云端服务与履约标的相关之日志,应于契约终止或解除或期满后保存6个月。」
根据这份云端采购范本的规定,清楚订定业者必须要提供机关6个月以上的各种日志档案(Log),契约结束后也必须保留日志6个月。叶哲良表示,未来保留各种日志档至少6个月以上,契约结束后也必须保留日志档6个月的规范,将会成为台湾各行各业的低标。
不可归责厂商事由造成的违约金计算,以契约价金总额20%为上限
在政府各种采购契约中,以往对于违约金的估算,都由机关依照往例或参考其他机关标准制定,此次在云端采购范本中,也在第14条「违约金」的条文中明定违约金的上限。例如,根据第14-3条规定,如果是不可抗力或不可归责于厂商的事由导致违约时,属于行政违约,违约金的计算以契约价金总额的20%为上限。
但如果是因为厂商的内部过失,导致可归责于厂商事由,致使无法提供保存期限内的存取记录和日志档时,就可依照第14-4条规定,依照契约价金总额的2%计算违约金,若计算出的违约金不满一万元者,仍以一万元计算;如果未能限期改善者,则可以按次处罚,且不受20%违约金上限的规范。
厂商如果违反资安相关法令,或者是知道机关或厂商发生资安事件时,依照云端采购范本第15-14-3条规定,厂商必须在知道发生资安事件的1小时内通报机关,并提出紧急应变处置且配合机关做后续处理。
如果厂商无法配合上述规定的话,依照第14-5条违约金的规定,可以以契约价金总额的10%作为违约金,不受契约价金总额20%的违约金上限规定。
叶哲良表示,云端采购范本也将资安事件的通报正式明文化,避免以往曾经发生过,机关发生资安事件后,厂商或机关就删除Log来隐瞒资安事件的发生。
资安是未来政府所有资服采购或是云端服务采购时的重要项目,根据第2条「履约标的」条文中第2-4条规定,在云端采购范本涉及的资通系统,都必须在招标时,就确定其资安防护需求等级是普级、中级还是高级,如果招标时没有清楚载明防护等级,都以普级视之。
而且,机关对于资安防护等级需求的应该搭配何种资安作为,则必须参考「各类资讯(服务)采购之共通性资通安全基本要求参考一览表」中,针对:云端服务(SaaS)套装型、云端微服务(SaaS)办公室生产力工具、既有云端微服务(SaaS)客制化需求更版、云端平台(PaaS或IaaS)、应用软体或系统维运服务的类型,依据所需要的资安防护等级,执行并落实所需要的防护项目内容。
「资讯云端服务采购契约范本」条文
第1条 契约文件及效力
第2条 履约标的
第3条 契约价金之给付
第4条 契约价金之调整
第5条 契约价金之给付条件
第6条 税捐
第7条 履约期限
第8条 履约管理
第9条 履约标的品管
第10条 保证金(由机关择定后于招标时载明,无者免填)
第11条 验收
第12条 迟延履约
第13条 保固(无者免填)
第14条 违约金
第15条 权利及责任
第16条 契约变更及转让
第17条 契约终止、解除及暂停执行
第18条 争议处理
第19条 保密及安全需求
第20条 其他
第21条 服务绩效
资料来源:行政院公共工程委员会,2024年5月