今天來介紹「日誌事件與可歸責性」的構面,留存 log 最主要的目的是為了在系統發生被攻擊或無法正常運作時,能在事後透過 log 進行事件分析或偵察、鑑識等,釐清...
這個構面比較偏向在事前預防,即在系統開發或是取得時,就先驗證系統的安全性,以防系統存在有明顯能被攻擊的漏洞,導致被攻擊時才發現。 系統與服務獲得 系統發展生命週...
今天開始來到了《資通安全責任等級分級辦法》中的最後一個附件 —《資通系統防護基準》,此附件共分為 7 個構面(存取控制、事件日誌與可歸責性、營運持續計畫、識別與...
今天來到防護基準的最後一個構面,此構面主要強調的是日常所要做的控制措施,以保持完整性。 系統與資訊完整性 漏洞修復 普級 系統之漏洞修復應測試有效性及潛在影響...
隨著數位時代的進展,人的生活型態和社會樣貌也逐漸被改變,從早晨上班前打開報紙瞭解新聞,到今日打開手機上網瞭解臺灣和全球的時事,都離不開網路。甚至,我們每天上下班...
今天來到了營運持續計畫部分,由於公務機關與特定非公務機關的業務通常都至關重要,因此在防護基準內有營運持續的相關執行事項,確保機關能在運到嚴重的資安事件時,能保持...
識別與鑑別(Identification & Authentication)識別代表的是使用者為何,鑑別則為確認目前的使用者為他所宣稱的使用者,即可以對...
接下來繼續介紹資安法下的其中一個子法,全名為《資通安全管理法施行細則》,資安法施行細是由資安法第二十二條授權給主管機關(行政院)訂定的,在法律位階上屬於行政命令...
由於資安的控制項目繁多,而各作業系統、軟體也有許多可調整的設定,為了使資訊設備有一致性的安全性設定,降低因為設定不一而導致的資安風險,因此技服中心提供了政府組態...
由於目前政府在推動的資安政策中,基本上是以「資安聯防」為中心,希望各單位能互相分享資安的情資,讓所有單位在有遭受攻擊的跡象或可能時,有警示以及提前防範的效果,所...
今天開始來介紹資安責任分級辦法中的附件—應辦事項,首先來介紹 A 級公務機關與特定非公務機關的應辦事項,若沒有特別提及,則為公務機關與特定非公務機關為相同規定:...
這個構面強調的是資料的傳輸與儲存需要進行加密,以確保機密性與完整性,比較特別的是,此構面僅針對分級為高級的資通系統進行要求,普級與中級則沒有任何要求。 系統與通...
如果不含子法附件的話,今天是本系列文章中,介紹資安法的最後一篇,法規名稱為《資通安全責任等級分級辦法》,條文主要為明訂出分級的標準,而十個附件中則為各級別的應辦...
今天繼續介紹應辦事項中的 B 級公務機關與特定非公務機關的應辦事項,因部分規定與 A 級機關相同,所以以下只會提及跟 A 級機關不同的規定。若沒有特別提及,則為...
今天來介紹 C、D、E 級機關的應辦事項,由於 C 到 E 級的的應辦事項較少,因此寫在同一篇文章內,而我都只會列出與前一個較高等級不同的地方,以及免辦的事項,...
資安業務7年資歷,系統整合10年經驗,電信業務2年的幸運。資安領域每年都有大風吹,有椅子坐的產品也常常更換,大家對資安的直覺是資安產品。大家說: 管理、技術 (...