適用人員: 技術人員(開發人員)。
適用法規: 資通安全責任等級分級辦法 - 附表十資通系統防護基準.PDF

• 技術面分類提要
• 網路架構的檢視
• 端點的安全防護
• 應用開發的防護基準
  • 開發過程的程序與記錄
  • 傳輸與資料的加密與保護
  • 帳號管理與存取權限
  • 委外注意事項
  • 其他(除舊佈新)

加密是資安防護措施的常用手段，如果可以的話，什麼都能拿來加密是最好不過了。主要用於保護重要的資料，避免攻擊者拿到之後也無法輕易得知內容。除此之外加密也用在確保使用者身份。因此在傳遞(連線)、儲存上都要特別注意。

以下說明加密演算法的選擇與需加密的資料:
加密的選擇: 重點只有一個，使用越難破解的越好

• 已經被破解、容易被暴力破解的不能使用，例如 MD5。
• 且有高度風險則應該採用更新的版本，沒有的話建議改用其他演算法，例如 TLS 採用 1.2 以上版本。
• 憑證的有效性也要定期更新

需加密的資料: 包括重要的敏感性資料，以及會影響系統安全的資訊。

• 密碼
• 敏感性資料
• 個資
• 傳輸協定，如網頁啟用 https, ftp 使用 sftp 等

在個資法的保護下，擁有個資的單位反而是最需要小心的部份，除了檔案本身與傳送加密之外，在蒐集、處理、利用上都必須依法處理，這又是另一個大坑了...