技術 資安的業務；業務的資安。

資安業務7年資歷，系統整合10年經驗，電信業務2年的幸運。資安領域每年都有大風吹，有椅子坐的產品也常常更換，大家對資安的直覺是資安產品。大家說: 管理、技術 (...

技術 [Day 28] 政府組態基準（GCB）

由於資安的控制項目繁多，而各作業系統、軟體也有許多可調整的設定，為了使資訊設備有一致性的安全性設定，降低因為設定不一而導致的資安風險，因此技服中心提供了政府組態...

技術 [Day 19] 系統防護怎麼做？（之 7 - 系統與資訊完整性）

今天來到防護基準的最後一個構面，此構面主要強調的是日常所要做的控制措施，以保持完整性。 系統與資訊完整性 漏洞修復 普級 系統之漏洞修復應測試有效性及潛在影響...

技術 [Day 18] 系統防護怎麼做？（之 6 - 系統與通訊保護）

這個構面強調的是資料的傳輸與儲存需要進行加密，以確保機密性與完整性，比較特別的是，此構面僅針對分級為高級的資通系統進行要求，普級與中級則沒有任何要求。 系統與通...

技術 [Day 17] 系統防護怎麼做？（之 5 - 系統與服務獲得）

這個構面比較偏向在事前預防，即在系統開發或是取得時，就先驗證系統的安全性，以防系統存在有明顯能被攻擊的漏洞，導致被攻擊時才發現。 系統與服務獲得 系統發展生命週...

技術 [Day 16] 系統防護怎麼做？（之 4 - 識別與鑑別）

識別與鑑別（Identification & Authentication）識別代表的是使用者為何，鑑別則為確認目前的使用者為他所宣稱的使用者，即可以對...

技術 [Day 15] 系統防護怎麼做？（之 3 - 營運持續計畫）

今天來到了營運持續計畫部分，由於公務機關與特定非公務機關的業務通常都至關重要，因此在防護基準內有營運持續的相關執行事項，確保機關能在運到嚴重的資安事件時，能保持...

技術 [Day 14] 系統防護怎麼做？（之 2 - 事件日誌與可歸責性）

今天來介紹「日誌事件與可歸責性」的構面，留存 log 最主要的目的是為了在系統發生被攻擊或無法正常運作時，能在事後透過 log 進行事件分析或偵察、鑑識等，釐清...

技術 [Day 13] 系統防護怎麼做？（之 1 - 存取控制）

今天開始來到了《資通安全責任等級分級辦法》中的最後一個附件 —《資通系統防護基準》，此附件共分為 7 個構面（存取控制、事件日誌與可歸責性、營運持續計畫、識別與...

技術 [Day 12] 分級後，要做什麼？（C、D、E 級機關）

今天來介紹 C、D、E 級機關的應辦事項，由於 C 到 E 級的的應辦事項較少，因此寫在同一篇文章內，而我都只會列出與前一個較高等級不同的地方，以及免辦的事項，...

技術 [Day 11] 分級後，要做什麼？（B 級機關）

今天繼續介紹應辦事項中的 B 級公務機關與特定非公務機關的應辦事項，因部分規定與 A 級機關相同，所以以下只會提及跟 A 級機關不同的規定。若沒有特別提及，則為...

技術 [Day 10] 分級後，要做什麼？（A 級機關）

今天開始來介紹資安責任分級辦法中的附件—應辦事項，首先來介紹 A 級公務機關與特定非公務機關的應辦事項，若沒有特別提及，則為公務機關與特定非公務機關為相同規定：...

技術 [Day 9] 被資安法管轄後，會發生什麼事？（之 5 - 資安責任等級）

如果不含子法附件的話，今天是本系列文章中，介紹資安法的最後一篇，法規名稱為《資通安全責任等級分級辦法》，條文主要為明訂出分級的標準，而十個附件中則為各級別的應辦...

技術 [Day 8] 被資安法管轄後，會發生什麼事？（之 4 - 資安情資分享）

由於目前政府在推動的資安政策中，基本上是以「資安聯防」為中心，希望各單位能互相分享資安的情資，讓所有單位在有遭受攻擊的跡象或可能時，有警示以及提前防範的效果，所...

技術 [Day 6] 被資安法管轄後，會發生什麼事？（之 2 - 資安法施行細則介紹）

接下來繼續介紹資安法下的其中一個子法，全名為《資通安全管理法施行細則》，資安法施行細是由資安法第二十二條授權給主管機關（行政院）訂定的，在法律位階上屬於行政命令...

技術 [Bonus Day 19] 台灣資安管理法草案 Information Security Management Bill Introduction

隨著數位時代的進展，人的生活型態和社會樣貌也逐漸被改變，從早晨上班前打開報紙瞭解新聞，到今日打開手機上網瞭解臺灣和全球的時事，都離不開網路。甚至，我們每天上下班...