第 六 章 資通安全防護及控制措施
|
| 第 17 條 | 依網路服務需要區隔獨立的邏輯網域(如:DMZ 、內部或外部網路等),
並將開發、測試及正式作業環境區隔,且針對不同作業環境建立適當之資
安防護控制措施。 |
|
| 第 18 條 | 具備下列資安防護控制措施:
一、防毒軟體。
二、網路防火牆。
三、如有郵件伺服器者,具備電子郵件過濾機制。
四、入侵偵測及防禦機制。
五、如有對外服務之核心資通系統者,具備應用程式防火牆。
六、進階持續性威脅攻擊防禦措施。
七、資通安全威脅偵測管理機制(SOC )。 |
|
| 第 19 條 | 針對機敏性資料之處理及儲存建立適當之防護措施,如:實體隔離、專用
電腦作業環境、存取權限、資料加密、傳輸加密、資料遮蔽、人員管理及
處理規範等。 |
|
| 第 20 條 | 訂定到職、在職及離職管理程序,並簽署保密協議明確告知保密事項。 |
|
| 第 21 條 | 建立使用者通行碼管理之作業規定,如:預設密碼、密碼長度、密碼複雜
度、密碼歷程記錄、密碼最短及最長之效期限制、登入失敗鎖定機制,並
評估於核心資通系統採取多重認證技術。 |
|
| 第 22 條 | 定期審查特權帳號、使用者帳號及權限,停用久未使用之帳號。 |
|
| 第 23 條 | 建立資通系統及相關設備適當之監控措施,包含身分驗證存取紀錄(如:
失敗登入、非作業時間登入、多位使用者使用同一來源 IP 登入成功等)
、存取資源紀錄、重要行為、重要資料異動、偵測攻擊與未授權之連線、
功能錯誤及管理者行為等,並針對日誌建立適當之保護機制。 |
|
| 第 24 條 | 建立遠端存取資通系統之管控機制,如:建立安全的遠距連線機制(如:
VPN、VDI)、採多重身分驗證、採加密連線、採最小授權原則、留存完整
使用者操作稽核軌跡、監控與警示異常操作行為、執行安全性漏洞更新等
安控措施,並教育居家辦公者應對網路風險保持警覺等。 |
|
| 第 25 條 | 針對提供公眾活動或使用之場地,宜強化告示牌、電子看板等傳播影像或
聲音功能設備之管理。 |
|
| 第 26 條 | 針對電腦機房及重要區域之安全控制、人員進出管控、環境維護(如溫溼
度控制)等項目建立適當之管理措施。 |
|
| 第 27 條 | 留意安全漏洞通告,即時修補高風險漏洞,定期評估辦理設備、系統元件
、資料庫系統及軟體安全性漏洞修補。 |
|
| 第 28 條 | 訂定資通設備回收再使用及汰除之安全控制作業程序,以確保機敏性資料
確實刪除。 |
|
| 第 29 條 | 訂定人員裝置使用管理規範,如:軟體安裝、電子郵件、即時通訊軟體、
個人行動裝置及可攜式媒體等管控使用規則。 |
|
| 第 30 條 | 每年定期辦理電子郵件社交工程演練,並對誤開啟信件或連結之人員進行
教育訓練,並留存相關紀錄。 |
|