今天來到防護基準的最後一個構面，此構面主要強調的是日常所要做的控制措施，以保持完整性。

系統與資訊完整性

漏洞修復

普級

系統之漏洞修復應測試有效性及潛在影響，並定期更新。

內容
應定期修復軟體元件漏洞與更新，例如 OS、Server、開發框架、第三方 library 等。

實務作法
如 Windows 可以使用 WSUS（Windows Server Update Services）統一派送更新、組態設定。

中級、高級

定期確認資通系統相關漏洞修復之狀態。

內容
注意相關安全漏洞訊息（例如 CVE、廠商安全通報、ISAC 通報、各種資安新聞等），若發現採用的軟體或元件有漏洞、透過弱掃發現漏洞，應設法修復並追蹤進度，配合定期安全性檢測進行複測。

資通系統監控

普級

發現資通系統有被入侵跡象時，應通報機關特定人員。

內容
應建立資安事件通報機制，當發現系統遭到疑似入侵時，通報相關人員，例如網管、系統管理員、系統擁有者、資安專責人員。

中級

監控資通系統，以偵測攻擊與未授權之連線，並識別資通系統之未授權使用。

內容
利用各種工具監控可能的攻擊與惡意連線，並確認具有偵測能力。

實務作法
可透過 WAF、IPS、IDS 等資安設備或軟體內建的監控面板進行監控。

高級

資通系統應採用自動化工具監控進出之通信流量，並於發現不尋常或未授權之活動時，針對該事件進行分析。

內容
應採用自動化工具，已支援即時的事件分析，警示可能的資安事件。
可基於網路、主機、傳輸、事件監控工具、SIEM 等，提供分析功能。

實務作法
部屬 IPS、IDS、WAF、UTM Firewall 等具備自動監控能力的資安設備。

軟體與資訊完整性

中級

使用完整性驗證工具，以偵測未授權變更特定軟體及資訊。

內容
可利用 Hash、同位元檢查、循環冗餘檢查等技術，目前較多使用目錄檔案監控（例如 CimTrak），自動偵測目錄或檔案的異動事件，異動時會留下記錄與告警。

使用者輸入資料合法性檢查應置放於應用系統伺服器端。

內容
為了避免利用輸入欄位插入指令攻擊或惡意字元，導致資料被認為是指令並加以執行，應檢查輸入資料是否合法，且不應採用前端驗證，應於後端進行驗證。

實務作法
透過輸入驗證有助於強化輸入資料的合法性，且可預防 XSS、Inject 攻擊，可建立輸入白名單或黑名單。
例如 .NET 可利用 ValidateRequest 功能檢查所有 request。

發現違反完整性時，資通系統應實施機關指定之安全保護措施。

內容
當發現系統完整性以遭到破壞，例如資料庫或檔案遭到修改、置換、被值入惡意指令、惡意程式等資安事件時，應依照相關法規與機關政策採取行動。

實務作法
進行通報、緊急應變與復原

高級

應定期執行軟體與資訊完整性檢查。

內容
定期驗證軟體與資訊的完整性，以防有未發現的竄改行為。

實務作法
可於系統一開始上線時，建立基準現（Baseline），後續即可與基準現進行變更比對。