祝各位中秋節快樂!
《有關資訊安全之違法事項:》
(十)辦理資訊安全防護作業,未就漏洞修補及追蹤處理訂定明確作業規範,亦未對無法修補或不需修補等例外管理情事,確實評估控管程序並定期檢討,核有礙健全經營之虞。
《筆者分析》:
前述《第十一件裁罰案 金管會保險局裁罰對象:宏泰人壽保險股份有限公司》已經說明金融保險的資安層級分類,這件案子的問題是在”複測”的時候被記再次糾正,理由是雖然已經依風險層級規定,減低了嚴重等級以及高風險等級的弱點,但是這些漏洞及缺失,卻沒有持續追蹤,且在有些例外管理,例如無法修補漏洞的問題,沒有提出警示或提列報告。因此,被金管會保險局給提糾正。
所以,筆者提醒資安人員三件事:
(1) 提列缺失,應定期追蹤,最簡單的方式,是用excel表將事件逐一提列,每周定期追蹤。
(2) 需做例外管理報告,直到提出解決方案為止,若無法解決,請記得持續追蹤。
(3) 定期提出警示,有漏洞就要提出警示,直到修補完成。
iThome鐵人賽
看影片追技術