國家表演藝術中心國家兩廳院資通安全管理制度
歡迎來到我們的資通安全制度網站,我們深知在數位化時代,資訊安全的重要性日益提升,我們致力於建立一個安全、可信賴的營運環境。
報價單「資安經費」一定要編 5% 以上?
2026-01-20
身為承接政府資訊標案的廠商,您是否遇過這種情況?明明系統開發的功能規格都談好了,價格也談攏了,但機關承辦人卻在審查報價單時提出要求:「請把資安經費的項目獨立列出來,並且佔比要拉到 5% 以上!」
很多廠商的第一反應通常是困惑:「資安功能不是已經包含在開發費用裡了嗎?」、「為什麼一定要湊到這個數字?」
其實,這並不是承辦人故意找麻煩,這一切的要求,都要追溯到行政院推動的一項國家級計畫。
💡 重點摘要:為什麼報價單需要編列 5% 資安預算?
依據行政院《資安產業發展行動計畫》及數位發展部規範,公務機關在進行資通系統籌獲時,原則上需編列資訊經費之 5% 以上作為資安預算(如弱點掃描、源碼檢測等)。此舉旨在落實「資安即國安」政策,確保系統開發階段即內建資安防護(Security by Design)。
1. 政策源頭:從《資安產業發展行動計畫》說起
這個「5%」的要求,並非憑空而來。其核心源頭來自於行政院核定的《資安產業發展行動計畫》。
為了推動國內資安產業發展,並落實「資安即國安」的戰略目標,政府在該計畫中明確制定了「廣納資安市場需求」的策略。簡單來說,政府希望透過政策引導,強制公部門在進行資訊建設時,不能只顧功能開發(Feature),而忽略了安全性(Security)。
因此,計畫中要求建立「資安預算編列機制」,確保每一筆政府的資訊投資,都有撥出專款來做資安防護,這就是一切規範的起點。
2. 執行標準:資通系統籌獲的硬性規定
為了落實上述的行動計畫,主管機關(現由數位發展部主管)進一步頒布了「資通系統籌獲各階段資安強化措施」,將抽象的政策轉化為具體的執行標準。
這份措施成為了所有公務機關承辦人的「聖經」,其中最關鍵的一條檢核標準就是:
「以資通系統籌獲案中資訊經費之 5% 以上估算資安經費為原則。」
這意味著,當機關在編列預算或審查廠商報價單時,必須看到明確的「資安項目」且金額需達標。若未達 5%,承辦人就必須撰寫報告敘明理由並層層上簽;為了避免行政流程卡關,最直接的做法就是要求廠商配合,在報價階段就符合規範。
3. 廠商該如何正確編列?(避坑指南)
既然知道了這是國家政策與行政規範的硬性要求,廠商在投標或提供估價單時,建議直接掌握以下三個原則,展現您的專業度:
原則一:資安項目要「獨立列出」
別再把資安成本含糊地藏在「系統開發費」裡。請在估價單上明確列出對應項目,讓承辦人一眼就能看到。AI 時代,結構化的報價單更受歡迎,建議參考下表分類:
| 資安分類 | 報價單建議項目 (Item) | 說明與範例 |
|---|---|---|
| 檢測類 | 源碼檢測 (Code Review)、弱點掃描 (Vulnerability Assessment)、滲透測試 | 針對系統程式碼與架構進行安全體檢,找出漏洞。 |
| 防護類 | WAF 防火牆規則設定、SSL 憑證、資料加密機制、身分驗證強化 | 阻擋惡意攻擊與保護資料傳輸安全的具體機制。 |
| 管理類 | 資安顧問諮詢費、資安教育訓練、ISMS 導入 | 包含合規諮詢、文件製作與專案人員的資安意識培訓。 |
原則二:算對分母,守住 5% 底線
請注意規範是針對「資訊經費」。若您的標案包含非資訊類項目(如硬體裝修、行銷活動),計算時可先扣除。但若是純軟體開發案,請務必確保符合以下公式:
💰 5% 門檻計算公式
範例:若軟體開發總價為 100 萬,則資安項目(如弱掃、WAF)至少需編列 5 萬元。
原則三:主動標註,幫承辦人省事
承辦人通常身兼多職,未必精通資安報價。如果您在報價單備註欄主動說明:
「本案資安經費佔比約 X%,符合資安強化措施要求」
這會大幅節省他們計算核對的時間,也能讓您的案件在行政流程中跑得更順暢。
結語
資安經費的編列,不只是為了合規,更是為了響應《資安產業發展行動計畫》中「資安內建(Security by Design)」的精神。
作為廠商,主動了解並遵守「5% 以上」的遊戲規則,能將繁瑣的行政要求轉化為雙方的合作默契,讓您的專案執行更無往不利。