第 五 章 物聯網設備安全控管
|
| 第 21 條 | (物聯網設備定義)
指具網路連線功能之嵌入式系統設備及其周邊連網之裝置(如:感測器)
。 |
|
| 第 22 條 | (物聯網設備指引適用範圍)
本指引定義之物聯網為具備網路連線功能且有連接外部或內部網路之自動
化辦公(OA)設備,如:數位錄影機、電話交換機、傳真機、錄音設備、
影印機、監視器等。 |
|
| 第 23 條 | (設備盤點評估)
組織應建立物聯網設備管理清冊並至少每年更新一次,以識別設備用途、
網路設定、存放位置與管理人員,評估適當之實體環境控管措施及存取權
限管制。 |
|
| 第 24 條 | (設備軟體控管)
組織建置之物聯網設備應具備安全性更新機制且定期更新,以維持設備的
可用性與完整性。 |
|
| 第 25 條 | (設備權限控管)
組織建置之物聯網設備應具備身份驗證機制或配對綁定機制,並應進行初
始密碼變更,且以最小權限原則針對不同的使用者身分進行授權,確保僅
能由經授權之使用者進行資料存取、設備管理及安全性更新等操作。 |
|
| 第 26 條 | (設備連線控管)
組織應關閉物聯網設備不必要之網路連線及服務,並避免使用對外公開的
網際網路位置,如設備採用公開的網際網路位置,應於設備前端設置防火
牆予以防護,並採用白名單方式進行存取過濾。如設備以無線連接網路者
,應採用具加密協定之無線存取點連接網路,並以網路卡卡號白名單等機
制進行設備綁定。 |
|
| 第 27 條 | (設備採購控管)
組織於採購物聯網設備前應依據二十四條至二十六條進行評估及測試,宜
優先採購取得資安標章之物聯網設備。 |
相關資訊 |
| 第 28 條 | (供應商管理)
組織如與物聯網設備供應商簽定採購合約時,其內容應包含資通安全相關
協議,明確約定相關責任(如:服務承諾、安全性更新年限、主動通報設
備已知資安漏洞並提出相關應變處置方案),確保設備不存在已知安全性
漏洞。 |
|
| 第 29 條 | (物聯網認知控管)
組織應定期辦理物聯網設備使用及管理人員資安教育訓練。 |
|
| 第 30 條 | (例外控管)
組織知悉物聯網設備存在已知弱點且無法更新,或因設備功能限制無法落
實第二十四條至二十六條之規範,應中斷設備網路連線,僅於必要時連接
內部網路並擬定汰換計畫,汰換前應設置於獨立網段與內部網路進行區隔
。 |
相關資訊 |
| 第 31 條 | (不具備管理功能之感測器控管)
組織針對不具備管理功能之物聯網設備感測器,其功能雖較為單純且風險
較低,仍應遵循本規範第二十三、二十六、二十七、二十八、二十九、三
十條之要求辦理。 |
相關資訊 |