第 四 章 行動裝置安全控管
|
第 15 條 | (行動裝置定義)
一、行動裝置:一種具有資料運算處理、儲存與網路連線功能之可攜式設
備,係指包含但不限於智慧型手機、筆記型電腦、平板電腦與 PDA
等裝置。
二、員工自攜行動裝置(BYOD):非屬組織行動裝置用於處理組織事務、
直接連接組織網路設備或服務,並具備資料運算處理、儲存與網路連
線功能之可攜式設備。 |
|
第 16 條 | (行動裝置指引適用範圍)
本指引定義之行動裝置,僅限於可用於處理組織內部定義之敏感性事務且
可直接連接組織網路設備、服務之行動裝置。 |
|
第 17 條 | (公務用之行動裝置設備控管)
一、組織對於行動裝置的申請、使用、更新、繳回與遺失應訂有相關規範
。
二、組織人員異動時,應進行重新配置或清除配置程序,以確保行動裝置
環境安全性。
三、組織對行動裝置與行動裝置可存取的資源應進行風險評估作業,並依
據風險評估結果採行適當的安全控管措施,如:螢幕鎖定、限制存取
敏感資料、安裝防毒軟體、安裝行動裝置管理軟體等。
四、組織針對存有敏感性資料之行動裝置宜採行以下安全控管措施:
(一)行動裝置宜建立身分識別機制。
(二)行動裝置之作業系統環境設定宜由被授權者進行變更。
(三)行動裝置之作業系統與防毒軟體宜定期檢查,避免持有者私自異動
設定,如:越獄(Jailbreaking)或提權(Rooting )。
(四)行動裝置宜考量遺失時資料清除方式,如:以遠端方式刪除資料或
透過身分認證錯誤超過規定次數後自動刪除機制。
(五)行動裝置宜限制或關閉不需要之無線連線功能,如:NFC 、紅外線
、Wifi 或藍芽等。
(六)行動裝置傳輸敏感性資料時,宜採加密或資料遮蔽方式進行保護。
(七)行動裝置宜限制敏感性資料儲存於行動裝置上或將敏感性資料進行
加密保護。
五、組織公務用之行動裝置應避免安裝非官方發布之行動應用程式,或僅
安裝由組織列出通過檢測可安裝之行動應用程式。 |
|
第 18 條 | (員工自攜行動裝置管理)(BYOD)
一、組織應定期審核並限制員工自攜行動裝置使用用途、使用期間及資料
種類。
二、組織應與持有人簽署員工自攜行動裝置使用協議,含:使用限制及雙
方責任等。
三、組織宜限制內部資通設備透過員工自攜行動裝置私接存取網際網路(
Internet)之行為。 |
|
第 19 條 | (行動應用程式安全控管)(Mobile App)
一、組織透過行動應用程式發送簡訊或其他訊息通知方式告知使用者敏感
性資料時,應進行適當去識別化。
二、組織應建立偽冒行動應用程式偵測機制,以維護客戶權益。
三、組織於啟動行動應用程式時,如偵測行動裝置疑似遭破解(如 root
、jailbreak、USB debugging 等),應提示使用者注意風險。 |
|
第 20 條 | (行動應用程式發布控管)
一、組織發布行動應用程式前應檢視行動應用程式所需權限應與提供服務
相當,首次發布或權限變動應經資安、法遵單位同意,並留有紀錄,
以利綜合評估是否符合個人資料保護法之告知義務。
二、組織應於可信任來源之行動應用程式商店或網站發布行動應用程式,
且應於發布時說明欲存取之敏感性資料、行動裝置資源及宣告之權限
用途。
三、涉及投資人使用之行動應用程式於初次上架前及每年,組織應委由經
財團法人全國認證基金會(TAF )認證合格之第三方檢測實驗室進行
並完成通過資安檢測,檢測範圍以經濟部工業局委託執行單位「行動
應用資安聯盟」公布之行動應用程式基本資安檢測基準項目進行檢測
。
四、如通過實驗室檢測後一年內有更新上架之需要,組織應於每次上架前
就重大更新項目進行委外或自行檢測;所謂重大更新項目為與「下單
交易」、「帳務查詢」、「身份辨識」及「客戶權益有重大相關項目
」有關之功能異動。檢測範圍以 OWASP MOBILE TOP 10 之標準為依
據,並留存相關檢測紀錄。
五、組織對第三方檢測實驗室所提交之檢測報告,應依經濟部工業局委託
執行單位「行動應用資安聯盟」公布之行動應用程式基本資安檢測基
準項目建立覆核機制,以確保檢測項目及內容一致,並留存覆核紀錄
。 |
|