本辦法依國防產業發展條例(以下簡稱本條例)第五條第二項規定訂定之。
本辦法用詞,定義如下:一、安全查核:指對國防產業廠商人員、設施(備)、資訊系統及安全有關事務之安全管制措施,實施查驗評核。
二、機密工項:指核定機密等級以上建案、計畫之關鍵技術或涉及機敏資訊之工作項目。
三、下游供應廠商:指列管軍品得標廠商且涉機密工項之物料供應、製造或分包、協力之國內法人、機構或團體。
四、陸資廠商:指大陸地區人民來臺投資許可辦法第三條第一項所定之投資人、第五條所定之陸資投資事業及其依我國法律設立之公司。
五、建案單位:指武器系統與裝備軍事投資計畫之研發、生產或製造及設施工程案之主辦機關(構)、單位。
六、涉密人員:指受國軍單位委託或依契約從事國防事務,涉及國家機密之個人或機關(構)、民間團體之成員。
國防部應對參與列管軍品廠商及下游供應廠商實施安全查核;其項目、對象及時機如下:一、申請認證查核:申請列管軍品廠商資格級別認證之國內法人、機構或團體(以下簡稱廠商),應於完成級別評鑑後三個月內辦理安全查核,符合查核基準者,核發該國防產業專長領域項別之列管軍品廠商資格級別認證合格證明(以下簡稱合格證明)。
同時申請多項專長領域項別之合格證明者,得合併實施安全查核。
已取得合格證明之廠商,再申請其他專長領域項別合格證明時,得以定期安全查核之查核結果審查。
二、定期查核:對符合查核基準廠商(以下簡稱合格廠商)及其下游供應廠商,每年辦理一次安全查核。
三、不定期查核:涉及機密列管軍品之得標合格廠商及其下游供應廠商,於新增資訊、變更資料或因特殊情形而有必要時辦理安全查核。
前項第三款所稱特殊情形,指具有下列情形之一者:一、將機密資料隱匿、交付或洩漏予第三人之疑慮。
二、資金背景符合陸資廠商。
三、資訊系統遭病毒或駭客入侵存有資安疑慮。
四、涉密人員違反契約保密條款或未報准進入大陸地區、香港或澳門,或與大陸地區人民技術交流,衍生國防技術外洩疑慮。
五、合格廠商負責人、代理人、受僱人或其他從業人員犯本條例第六條第一項第一款、第二款、第五款、第六款之罪或有其他足以影響國防安全之情事。
第一項安全查核之執行,國防部得委由國防部政治作戰局(以下簡稱政戰局)辦理,並得就安全查核項目委任所屬相關機關(構)或委託其他機關(構)辦理。
前項受委任或委託之機關(構)對於辦理受任或受託事務所獲悉特定非公務機關之秘密,不得洩漏。
安全查核之內容及基準如下:一、人員查核:執行國防事務人員特定之身分背景(如附表一)。
二、設施(備)查核:執行國防事務主營業所或其分支、廠房、辦公室等處所設施(備)之安全管制措施(如附表二)。
三、資訊系統查核:執行國防事務資訊網路、個人作業系統與周邊連線設備軟體及硬體之安全維護措施(如附表三)。
四、其他有關安全事務。
安全查核方式如下:一、申請認證查核:依附表一至附表三申請認證查核細項,辦理安全查核。
二、定期查核:(一)未得標列管軍品之合格廠商及列管軍品未涉機密工項之得標合格廠商,依附表一至附表三擇有關項目,辦理安全查核。
(二)列管軍品涉機密工項之得標合格廠商及其下游供應廠商,依附表一至附表三擇有關項目與契約特別保密條款之項目及要求,辦理安全查核。
三、不定期查核:依契約特別保密條款之項目及要求,辦理安全查核。
安全查核程序如下:一、完成列管軍品廠商資格級別評鑑之廠商,應於接獲國防部通知之日起十日內,填具列管軍品廠商執行國防事務人員查核名冊(如附表四),並檢附廠商人員之國民身分證影本與警察刑事紀錄證明書、非陸資及安全查核切結書(如附表五),送交政戰局實施書面審查。
檢附文件、資料未備齊者,應於接獲通知後七日內補正;屆期未補正,視同未符合安全查核基準。
二、政戰局完成書面審查後,必要時得至廠商執行國防事務相關主要或其分支營業所、廠房、辦公室或軟硬體設備(施)之所在地,實施現地訪查或其他必要查察;廠商拒絕者,視同未符合安全查核基準。
三、受委任或委託機關(構)完成委任及委託查核事項後,應將查核情形(如附表六)送交政戰局彙整查核結果。
政戰局依前項所定程序完成查核後,應填載安全查核結果通知書(如附表七),陳報國防部續辦核發合格證明之審查,並建立檔案列管。
政戰局辦理定期查核,應於六十日前通知合格廠商及其下游供應廠商查核之時間、事項、地點、設施(備)及相關文件、資料,必要時得以隨機抽檢方式辦理。
定期查核未符合安全查核基準者,政戰局應以書面通知限期改正;屆期未改正者,依下列方式處理:一、安全疑慮仍未改善之合格廠商,視同未符合安全查核基準。
二、安全疑慮仍未改善之下游供應廠商,合格廠商應輔導其改正;其未改正者,應終止與下游供應廠商之該得標項目列管軍品物料供應、製造或分包、協力契約;未終止契約者,視同合格廠商未符合安全查核基準。
政戰局得以隨機抽檢方式實施不定期查核;必要時得至廠商執行國防事務相關主要或其分支營業所、廠房、辦公室或軟硬體設備(施)之所在地,實施現地訪查及其他必要查察。
廠商拒絕前項查核、現地訪查或必要查察者,視同未符合安全查核基準。
不定期查核未符合安全查核基準者,政戰局應以書面通知限期改正;屆期未改正者,依前條第二項規定處理。
不服安全查核結果者,除有不可抗力之事由外,得於查核結果書面通知送達之日起十日內,以書面向政戰局申請複查。
但以一次為限。
政戰局應自收受申請複查書面通知之次日起二個月內完成複查,必要時得予延長,並通知申請人。
延長以一次為限,最長不得逾二個月。
合格廠商應落實自主安全管理事項,並指派所屬人員及要求其下游供應廠商參與政戰局及其委任、委託機關(構)辦理之安全查核教育訓練。
合格廠商於合格證明有效期內,變更安全查核書面資料,應主動檢附變更資料通知國防部。
合格廠商得標列管軍品購案時,應向政戰局通報下游供應廠商涉機密工項人員之安全調查表,與非陸資及安全查核切結書供查核;列管軍品購案履約期間,合格廠商每年應定期彙整下游供應廠商營運異動資訊、安全查核及履約督導結果送交國防部。
列管軍品屬機密級以上之案件,建案單位應於採購作業階段,將國防部特別保密條款納入招標文件及契約書,以為定期及不定期安全查核範圍。
前項案件之合格廠商及下游供應廠商涉密人員,應依國家機密保護法、臺灣地區與大陸地區人民關係條例規定,納入出境及進入大陸地區之管制對象,並依契約書保密約定辦理管制作業。