系統與資訊完整性(System and Information Integrity)
1 惡意程式碼之防護(Malicious Code Protection):
1.1 為確保組織資訊環境不被惡意程式侵襲,應在包括網路重要節點、伺服器、員工個人資訊設備或行動式設備上安裝必要之防護機制與工具。
1.2 在組織資源許可下,不同節點所安裝之防護機制與工具應屬不同產品或不同廠商,以避免一單一產品所產生之防護漏洞。
1.3 組織需定期/不定期更新防護工具之版本,以確保該防護工具能偵測並阻擋最新之惡意程式。
1.4 在組織取得最新之防護工具時,需先經過組織驗證,確保更新後不會影響原資訊環境之運作後,始可派送至組織內各資訊設備。
1.5 嚴禁授權使用者自行安裝、異動或移除防護工具。
2 資訊系統監視:
2.1 組織需指派專業人員監視資訊系統之事件,以符合監視目標並偵測資訊系統之攻擊活動。
2.2 在組織人力許可下,應指派二人以上進行此監視工作,以避免因單一人員職業道德問題而造成無效之監督。
2.3 組織應建置偵測機制,以識別未經授權之資訊系統使用行為。同時需記錄所有之行為過程。在組織資源許可下,該偵測機制應儘可能達到即時偵測之功能。
2.4 組織應部署監視工具,在特定之位置中追蹤特定之活動。例如資料庫之存取活動。
2.5 在對資訊系統監視活動前,需諮詢相關法令專家,以取得適法性之建議,確保監視活動符合適切之法律、行政命令、指示、政策、或規範。
2.6 組織應透過多種工具及技術(如入侵偵測系統、入侵防禦系統、惡意程式防護軟體、稽核紀錄監控軟體、網路監控軟體)達成資訊系統監視能力,以避免因單一工具或技術之缺陷造成組織之安全漏洞。
2.7 組織需監視資訊系統所有進出之通訊活動,以發現不尋常或未經授權之活動或狀況。
2.8 組織需建置具備防止無權限的使用者繞過入侵偵測及防禦系統功能之機制或工具。
2.9 組織應使用流量/事件patterns來調校系統監視設備,以減少漏報及誤報事件之發生。
參考資料:NIST SP 800-53