iT邦幫忙

2021 iThome 鐵人賽

DAY 20
0
Security

作業抄起來!資通安全管理法什麼的系列 第 20

應用系統開發的防護基準

  • 分享至 

  • xImage
  •  

適用人員: 技術人員(開發人員)。
適用法規: 資通安全責任等級分級辦法 - 附表十資通系統防護基準.PDF

  • 技術面分類提要
  • 網路架構的檢視
  • 端點的安全防護
  • 應用系統開發的防護基準

應用系統由於架構在端點之上,因此在評估每一個應用系統時也自然要符合前述底層的端點防護軟體。這一分類與端點的差異在於實施人員為實際開發人員(撰寫、維護系統),雖然每一個應用系統都有其獨特性,但仍要滿足以下需求,故為基準。

附表十資通系統防護基準: 明確的規定即在此附表中,為主要的參考依據。先將系統依照「系統防護需求分級」分為低、中、高,再採取以下的相對應措施。

  • 存取控制: 包含帳號的管理、權限的分配等。
  • 事件日誌與可歸責任: LOG 的保存、存取
  • 營運持續計畫: 系統的備份及備援
  • 識別與鑑別: 加強帳號的管理,如密碼強度、鎖定等。
  • 系統與服務獲得: 可以對應 SSDLC (安全的軟體開發周期)
  • 系統與通訊保護: 傳輸、資料的加密
  • 系統與資訊完整性: 監控、修補系統等。

應用開發的重點,一言以蔽之為安全的軟體開發生命周期 (SSDLC)。接下來的篇章整理其中內容,分類如下後說明:

  • 開發過程的程序與記錄
  • 傳輸與資料的加密與保護
  • 帳號管理與存取權限
  • 委外注意事項
  • 其他(除舊佈新)

再次說明應用開發前需要先確認已符合端點防護。而後續的掃描(弱點、滲透等)留在往後的清查系統,不在此類中詳述。


上一篇
端點防護軟體 - 其他注意事項(除舊佈新)
下一篇
應用系統的防護基準-開發過程的程序與記錄(SSDLC)
系列文
作業抄起來!資通安全管理法什麼的34
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言