[管理] 上市上柜公司资通安全管控指引

这是一份检查表的项目清单,后面的栏位有 [适用否]、[说明]、[一二级文件]、[三四级文件]
提供检查自己的公司部门符合的情况。


第二章 大纲
成立资讯安全推动组织-- 有专责主管及专责人员-- 人力、物力、财力资源"订立资通安全政策,并定期检视政策有效性,并由副总以上定期传达资讯安全政策重要性。"核心业务及重要性评估  作业程序书资通系统盘点及风险评估  作业程序书  资通系统发展及维护安全  作业程序书资通安全防护及控制措施  作业程序书资通系统或服务委外办理  作业程序书"资通事件通报与处置应变  作业程序书>> 含  情资评估因应  作业程序"资通安全之持续精进及绩效管理机制
第三章 机敏资料识别与保护措施评估
定期检视公司之核心业务及应保护之机敏性资料法律遵循,鉴别应遵守之法令及契约要求"鉴别中断事件之影响程度,制定适宜之(1)复原时间目标(RTO,多快复原完成)(2)资料复原时间点目标 (RPO, 资料损失量)""制定核心业务持续运作计画,定期办理演练,>> 备援措施  \ 人员职责 \ 作业程序 \ 资源调配>> 演练结果及改善"
第四章 资讯资产风险分析
资讯资产风险分析程序
第五章 系统安全开发需求
设置系统开发与维护需求规格 > 机敏资料存取控制 / 登入验证规格    / 输出输入检查过滤定期执行要求规格之测试。  如: 输出输入过滤测试妥善储存与管理相关维护文件定期弱点扫描、渗透测试  并 完成修补系统上线前执行源码扫描安全检测  (静态扫描)
第六章 网路安全控制要求
建立适当的逻辑网域(vlan) >DMZ / 内部 / 外部正式、测试区域完整区隔,且分别建立适当控制措施。基础环控 - 防毒软体基础环控 - 网路防火墙基础环控 - 电子邮件扫毒与过滤机制基础环控 - 入侵侦测与防御机制"基础环控 - 应用程式防火墙 (对外应用: BPM、LINEBOT、EC、PLM)"基础环控 - 进阶渗透工程处置程序 与 风险评估文件基础环控 - 资通安全威胁侦测管理机制 (SOC)针对机敏的保护措施 > 实体安全 \ 专用环境 \ 存取权限 \ 资料加密 \ 传输加密 \ 资料遮蔽 \ 人员管理…等人员到职、离职、定期签署保密协议明确告知保密事项密码管理之作业规定。 如: 预设密码、密码长度、密码複杂度、密码历程记录限制、密码最短及最长使用效期、登入失败次数锁定、多因素验证。帐号之定期作业规定: 定期审查特权帐号、使用者帐号及权限,停用久未使用之帐号。纪录存放作业规定: 重要资通系统/设备之相关纪录监控,如:身分验证失败、存取资源失败、重要行为、重要资料异动、功能错误 及  管理者行为…等,并针对日誌建立适当之保护措施机房管理: 门禁、环境维护(温湿度、漏水)办公区管理: 安全管理。留意安全漏洞公告,及时修补高风险漏洞定期评估与修补作业系统、资料库、软体安全性漏洞资通设备回收再使用与汰除之安控程序 > 删除机敏订定个人(私人)设备使用原则 > 通讯软体 \ 软体安装 \ 电子邮件 \ 可携式媒体…等管控规则每年执行电子邮件社交工程演练 > 连结点击之纪录
第七章 资讯委外安管要求
订定 资讯作业委外安管程序 > 选商 / 监督管理/关係终止之相关规定所有合约皆须具备 服务水準协议 (SLA)、资安要求 及对委外厂商的资安稽核权委外关係终止时,须确保委外厂商返还、移交、删除或销毁履行契约而持有之资料。
第八章 资安事件应变及通报
资安事件应变及通报作业程序 > 判定事件影响及损害、内外部通报流程、通知其他受影响机关之方式、通报窗口及联繫方式加入 资安情资分享组织 > ISAC 及 TWCERT"符合 『上市/柜公司重大讯息之查证暨公开处理程序』之资安事件  请依相关规範办理"
第九章 资安绩效审视与定期稽核
定期举行由高阶主办的管理审查会议 确保有效性与适切性定期办理内部及委外厂商之资讯安全稽核,拟定改善措施并定期追蹤改善。

关于作者: 网站小编

码农网专注IT技术教程资源分享平台,学习资源下载网站,58码农网包含计算机技术、网站程序源码下载、编程技术论坛、互联网资源下载等产品服务,提供原创、优质、完整内容的专业码农交流分享平台。

热门文章