工程會公告資服採購指引上路 四大重點一次看

行政院工程會25日公告《資訊服務採購作業指引》，並自同日上路。該指引主要有四大重點，包含要求機關編列獨立資安預算；擴大工程會採購諮詢機制並納入數位部；資服採購以不訂底價最有利標為原則；要求開發過程設定查核點等。工程會指出，列出指引最主要就是讓政府機關及業者都能有更明確的方向去做資服採購，避免後續出現爭議。

工程會指出，原本在資服採購上，本來就是一直都有，只是以前是散落在各個標案或是其他法規裡面，不過數位部在成立之後，政府機關也開始逐漸更加重視資安管理，因此，工程會、數位部與產業界合作，將資通安全管理法及數位部對各級機關的共通性資安基本要求，納入資訊服務採購契約範本，讓機關從採購端就開始建構資安防護，以提升政府資服採購的資通安全。

工程會表示，資訊服務採購作業指引主要有四大重點，首先是由於過去編列資安預算落實程度不佳，因此藉由該指引，再次要求機關編列獨立資安預算，而該指引也要求機關應反覆檢視需求、合理編列費用（含預備費、物調費等）。

其次，擴大工程會採購諮詢機制，納入數位部提供專業意見，工程會說明，這也是業者要求很久的事項，因為在以往實務經驗上，通常是業者承接後，後續才又會有告知業者需要進行資安巡檢或是其他資安服務，這對業者而言算是額外多出的成本，未來在指引上都已載明相關的資安服務與需求，也能讓業者更明確評估所需成本。

第三，重申依採購法規定，公告金額以上的資服採購以不訂底價最有利標為原則，請機關於招標文件明訂以固定費用決標，不議減價格。工程會說，這是考量資訊業者是賣智慧的行業，應該給予合理費用，不應該出現不合理砍價。

第四，開發過程應設定查核點，反覆檢視執行成果，並要求廠商展示，如開發畫面、資料庫架構、整合測試等，定期開會追蹤檢討，若有不符合契約約定者，應立即要求廠商配合改善。

除了指引已經上路外，工程會也訂定「各類資訊（服務）採購之共通性資通安全基本要求參考一覽表」，針對系統的防護需求等級，提供普、中、高的資安基本要求，讓機關採購人員易於擇定資安需求，從源頭把關，在資訊系統開發階段即搭配資安法規定，將資安要求納入採購，避免機關遺漏，以落實資安防護。官員強調，為讓業者能順利接軌，不會打擊到生計，針對上述要求訂定出調適期，普級者至2024年3月、中高級者至2024年8月實施，以利業者提升自身資安能力。

對此，數位部次長李懷仁表示，這次跟工程會一起合作，希望有利於台灣軟體產業發展，讓台灣軟體業者在政府採購上是用品質來爭取，而不是靠價格低廉，且讓各部會在軟體採購上有更明確依循。實際上，數位部已經率先在軟體採購案上使用該標準。