攝影/洪政偉
為了解決過去二十年來資訊服務採購遇到的各種履約爭議,以及近幾年來,政府資訊系統日益增加的各種資安措施,專責政府採購的行政院公共工程委員會,於九月公布一份《政府資訊服務採購作業指引》,以及同步修訂公布的《修正資訊服務採購契約範本強化資安防護》。
臺北市政府資訊局局長趙式隆表示,該局的資訊服務採購向來有嚴謹的採購規範與範本,在資訊系統資安防護措施上,更是有清楚明確的規範。
面對工程會協同數位部以及產業界公協會的力量,公布一份可以供甲方機關和乙方資服資安業者參考的作業指引與契約範本,趙式隆認為,這樣的作為對於提升機關整體的資安防護水準,是有利而無害。
不管是工程會公布的作業指引,或是修訂公告的契約範本,趙式隆同意,這對於整個國家的資訊採購具有宣示效果,也可以提升各個機關對於資訊服務採購的共通水準。
乙方最不滿甲方「加量不加價」的要求
趙式隆在擔任北市府資訊局長之前,也在資服業界待過,是一個具有乙方經驗的現任甲方代表。而他之前在乙方任職時,主要顧客以金融業為主,有極高的法遵要求,和政府部門必須做到「依法行政」一樣。
他認為,隨著政府機關數位化程度越來越深,對於資訊服務採購所要求的品質和連帶的資安規範,也越來越嚴謹。
但是,現在除了必須自行開發的系統外,市場上的各種資服產品和資安解決方案,許多都是透過搭配不同規格化產品的產出。整體而言,搭配出來的各種解決方案,其實都有一定的品質穩定性,主要的差異點,通常都是甲方針對不同資訊服務,對乙方提出的解決方案有不同SLA(服務水準協議)要求。
所以,雖然甲方機關會因為不同需求而選擇不同解決方案,但他認為,實務上,只要甲乙雙方對於資服採購的要求,都有達到一定程度的水準,即使發生重大的資安事件,雙方心中都會有一個資安底線。
他說,這個資安底線也代表現實環境中,甲方可以達到何種程度的資服採購水準,以及乙方可以提供什麼樣資安防護措施要求。
但是,趙式隆也觀察到,目前乙方對甲方最頭痛的行為就是「加量不加價」,這是所有乙方業者的痛點。
尤其是,近年來因為資安威脅大增,甲方必須新增許多資安相關的解決方案和防護措施,許多資服採購簽訂合約時,因為沒有相關的資安配套,履約時,一旦面臨主管機關的要求,許多甲方只好要求或拜託乙方業者,無償或是挪用其他項目的金額,以滿足主管機關對甲方在資安法遵的要求。他直言,這樣的作法,往往是犧牲乙方合理的利潤空間,去滿足甲方不合理的要求。
資安一覽表作為機關資安檢核參考
這次工程會同步修訂公布的《修正資訊服務採購契約範本強化資安防護》與資安一覽表相關附件,最重要的是詳細列出了9種資服類型,對應普級、中級和高級的資安防護程度,所對應各種資安措施的資安一覽表(資服樣態資通安全標準)。
趙式隆指出,這個資安一覽表最重要的核心概念就是「檢核表」,讓沒有資訊、資安專業的採購人員,可以透過對照檢核表的方式,確認應該納入哪些資安規範與措施。
他笑說,以前沒有良心的乙方業者,可以憑三吋不爛之舌去說服甲方採購人員,對乙方業者而言,一旦這個機關案子做砸了,頂多再換個新機關就好。但當採購人員有了這份資安檢核表後,等於有一份檢核基準做勾選和比對,可以避免誤入乙方業者舌燦蓮花的陷阱。
最有利標以固定價格決標,議約不議價
趙式隆肯定工程會這次將《政府採購法》中的最有利標,直接定義為議約不議價「固定價格決標」的最有利標。
以往定義的最有利標,是評審挑出評選第一名、服務內容最好的乙方業者後,還得看評選第一名的乙方業者價格,是否有超過機關自訂「底價」。
若評選第一名的資服業者,經過三次減價還是無法達到機關自訂的底價後,就會由評選第二名的業者投標,其價格也必須超過機關的自訂底價才行。
但新版《政府資訊服務採購作業指引》中的最有利標,卻是甲方直接公告標案價格,不管是哪一個乙方業者得標,決標價格就是甲方公告的標案價格,重點是,得標的乙方業者議約不議價,並不需要經過再議價的程序,只為了低於機關自訂的底價。
趙式隆也說,得標的乙方業者提供的就是該業者最擅長的核心服務,最具有優勢的技能,就不必和以往競標一樣,必須提供滿足甲方暗示的各種回饋,才能夠得標。
趙式隆認為,得標乙方業者脫穎而出的關鍵,就是善用其優勢作為「創意」項目,在議約過程中,成為能和其他乙方業者競標、最終能夠勝出的關鍵。
作業指引和範本不具強制性,最終仍須走到採購法修法階段
趙式隆表示,這次工程會公布的作業指引其實是類似行政命令的作法,但並沒有具備強制力,包括提供的契約範本,參與投標的業者,其實都可以選擇是否要適用。
只不過,乙方業者為了符合甲方提出的採購規範,只要是甲方參考什麼樣的採購作業指引,或是使用哪一種範本,通常會成為乙方業者的參考指南,「用甲方指引和範本,至少具備保底功能,」他說。
不管是作業指引或是契約範本,趙式隆認為,背後帶來的「價值」才重要,讓甲乙雙方都有一個共通的參考準則,只要跟進使用、用得好,就可以達到一個共通水平,這也將成為政府機關未來資訊資安採購的基準線。
熱門新聞
2024-04-28
2024-04-26
2024-04-26
2024-04-26
2024-04-26
2024-04-26