這是一份檢查表的項目清單,後面的欄位有 [適用否]、[說明]、[一二級文件]、[三四級文件]
提供檢查自己的公司部門符合的情況。
成立資訊安全推動組織
-- 有專責主管及專責人員
-- 人力、物力、財力資源
"訂立資通安全政策,並定期檢視政策有效性,
並由副總以上定期傳達資訊安全政策重要性。"
核心業務及重要性評估 作業程序書
資通系統盤點及風險評估 作業程序書
資通系統發展及維護安全 作業程序書
資通安全防護及控制措施 作業程序書
資通系統或服務委外辦理 作業程序書
"資通事件通報與處置應變 作業程序書
>> 含 情資評估因應 作業程序"
資通安全之持續精進及績效管理機制
定期檢視公司之核心業務及應保護之機敏性資料
法律遵循,鑑別應遵守之法令及契約要求
"鑑別中斷事件之影響程度,制定適宜之
(1)復原時間目標(RTO,多快復原完成)
(2)資料復原時間點目標 (RPO, 資料損失量)"
"制定核心業務持續運作計畫,定期辦理演練,
>> 備援措施 \ 人員職責 \ 作業程序 \ 資源調配
>> 演練結果及改善"
資訊資產風險分析程序
設置系統開發與維護需求規格 > 機敏資料存取控制 / 登入驗證規格 / 輸出輸入檢查過濾
定期執行要求規格之測試。 如: 輸出輸入過濾測試
妥善儲存與管理相關維護文件
定期弱點掃描、滲透測試 並 完成修補
系統上線前執行源碼掃描安全檢測 (靜態掃描)
建立適當的邏輯網域(vlan) >DMZ / 內部 / 外部
正式、測試區域完整區隔,且分別建立適當控制措施。
基礎環控 - 防毒軟體
基礎環控 - 網路防火牆
基礎環控 - 電子郵件掃毒與過濾機制
基礎環控 - 入侵偵測與防禦機制
"基礎環控 - 應用程式防火牆
(對外應用: BPM、LINEBOT、EC、PLM)"
基礎環控 - 進階滲透工程處置程序 與 風險評估文件
基礎環控 - 資通安全威脅偵測管理機制 (SOC)
針對機敏的保護措施 > 實體安全 \ 專用環境 \ 存取權限 \ 資料加密 \ 傳輸加密 \ 資料遮蔽 \ 人員管理…等
人員到職、離職、定期簽署保密協議明確告知保密事項
密碼管理之作業規定。 如: 預設密碼、密碼長度、密碼複雜度、密碼歷程記錄限制、密碼最短及最長使用效期、登入失敗次數鎖定、多因素驗證。
帳號之定期作業規定: 定期審查特權帳號、使用者帳號及權限,停用久未使用之帳號。
紀錄存放作業規定: 重要資通系統/設備之相關紀錄監控,如:身分驗證失敗、存取資源失敗、重要行為、重要資料異動、功能錯誤 及 管理者行為…等,並針對日誌建立適當之保護措施
機房管理: 門禁、環境維護(溫濕度、漏水)
辦公區管理: 安全管理。
留意安全漏洞公告,及時修補高風險漏洞
定期評估與修補作業系統、資料庫、軟體安全性漏洞
資通設備回收再使用與汰除之安控程序 > 刪除機敏
訂定個人(私人)設備使用原則 > 通訊軟體 \ 軟體安裝 \ 電子郵件 \ 可攜式媒體…等管控規則
每年執行電子郵件社交工程演練 > 連結點擊之紀錄
訂定 資訊作業委外安管程序 > 選商 / 監督管理/關係終止之相關規定
所有合約皆須具備 服務水準協議 (SLA)、資安要求 及對委外廠商的資安稽核權
委外關係終止時,須確保委外廠商返還、移交、刪除或銷毀履行契約而持有之資料。
資安事件應變及通報作業程序 > 判定事件影響及損害、內外部通報流程、通知其他受影響機關之方式、通報窗口及聯繫方式
加入 資安情資分享組織 > ISAC 及 TWCERT
"符合 『上市/櫃公司重大訊息之查證暨公開處理程序』
之資安事件 請依相關規範辦理"
定期舉行由高階主辦的管理審查會議 確保有效性與適切性
定期辦理內部及委外廠商之資訊安全稽核,擬定改善措施並定期追蹤改善。