友善列印
WORD

條文內容

名  稱:

證券期貨市場相關公會新興科技資通安全管控指引 

公發布日: 民國 111 年 05 月 11 日
主題分類: 資訊作業
第 7 條
(雲端基礎設施與虛擬化安全,適用於 IaaS、PaaS 服務)
一、雲端服務提供者應確保虛擬機映像檔之完整性,有關映像檔的重要異
    動,如:調整虛擬機記憶體大小、調整虛擬機硬碟容量等,都應該被
    記錄,並提供客戶檢視相關變更紀錄之機制。
二、雲端服務提供者如有設備維護更換時(如硬碟更換),所含組織之資
    料須進行全數刪除或銷毀,應依據其儲存媒介之性質,以消磁、銷毀
    、粉碎或其他適當之方式進行銷毀程序,並留存刪除或銷毀之紀錄。
三、雲端服務提供者應依據雲端服務使用者需求,提供虛擬機隔離性(
    isolation )說明,隔離性失效時應立即通知雲端服務使用者。
四、雲端服務提供者應就雲端作業系統,包含虛擬層(hypervisor)與虛
    擬機的作業系統(guest operating systems ),輔以適當的安全控
    管措施,如:僅開放必要連接埠(Port)、通訊協定(Protocols )
    與服務(Service )、病毒防護、安全漏洞評估機制、檔案完整性監
    控等。
五、雲端服務運作人員權限管理應採權限最小化原則,輔以適當安全控管
    措施,如:透過雙因子認證、稽核軌跡、IP  地址過濾、防火牆,以
    及傳輸層安全性(TLS )封裝的通訊管理。
六、雲端服務提供者提供 IaaS 服務(基礎架構即服務)時,應依雲端服
    務使用者需求將含敏感資料之虛擬硬碟進行加密,限制快照或未授權
    存取。