|
|
|
|
12.新興科技應用(CC-21100,年度查核)
(1)雲端服務:
a.公司為雲端服務使用者時,應訂定雲端運算服務運作安全規範內含
雲端提供者之遴選機制、查核措施、備援機制、服務水準(含資訊
安全防護)與復原時間要求等,如有不符需求之處,需有其它補償
性措施。
b.公司為雲端服務提供者時,應訂定雲端運算服務安全控管措施,應
包含法律遵循、權限控管、權責歸屬及資訊安全防護等項目。如涉
及敏感性資料之傳遞,應使用超文字傳輸安全協定 (HTTPS)、安
全檔案傳輸協定(SFTP)等加密之網路協定。
(2)社群媒體:
a.公司應訂定社群媒體相關資訊安全規範與運用社群媒體管理辦法,
應包含以下內容:
(a).界定可於公務用社群媒體上分享之業務相關資料。
(b).私人與公務用社群媒體之區別與應注意事項。
b.應針對開放員工使用社群媒體評估其風險程度,包含:資料外洩、
社交工程、惡意程式攻擊等,並採行適當的安全控管措施。
c.公司應訂定經營官方社群媒體資訊安全規範與管理辦法,並包含以
下內容:
(a).應事先了解所經營之社群媒體隱私政策,並定期(每年一次)
檢視其隱私政策之異動及評估其風險。
(b).於官方網站提供連結供使用者連至公司外之社群媒體時,應出
現提示視窗告知使用者該連結非公司本身之網站。
(c).對經營之社群媒體應標示證券商名稱、聯絡方式,以區別為官
方經營之社群媒體。
(d).應建立帳號權限管理機制,對發布內容進行控管與監視,並針
對不適當言論及異常事件,進行通報或處置。
(3)行動裝置:
a.公司應訂定公務用行動裝置之資訊安全規範與管理辦法,須包含以
下項目:
(a).行動裝置設備管理辦法應對於申請、使用、更新、繳回與審核
應訂有相關規範。
(b).人員異動時,行動裝置應進行重新配置或清除配置程序,以確
保行動裝置環境安全性。
(c).行動裝置應避免安裝非官方發佈之行動應用程式,或僅安裝由
公司列出通過檢測可安裝之行動應用程式。
b.公司應訂定員工自攜行動裝置之資訊安全規範與管理辦法,須包含
以下項目:
(a).公司應要求員工自攜行動裝置使用用途。
(b).公司應與持有人簽署員工自攜行動裝置使用協議,含:使用限
制及雙方責任等。
(c).公司應限制內部資訊設備透過員工自攜行動裝置私接存取網際
網路(Internet)之行為。
c.公司應訂定行動應用程式之發佈規範與管理辦法,須包含以下內容
:
(a).應用程式發佈前,應確認程式碼或程序庫通過內容安全或驗證
程序,如:程式原始碼檢測或掃描,確認未含惡意程式碼與有
敏感性資料。
(b).行動應用程式宜完整定義特殊符號篩選機制。
(c).無法取得行動應用程式原始碼時,應要求行動應用程式提供者
符合前項安全事項。
d.公司應訂定行動應用程式安全控管規範與管理辦法,須包含以下內
容:
(a).應針對交易或帳務等敏感性資料設計行動應用程式存取驗證機
制,並僅供經授權之行動應用程式使用該敏感性資料。
(b).透過行動應用程式發送簡訊或其他訊息通知方式告知使用者敏
感性資料時,應進行適當去識別化。
(c).透過行動應用程式傳送帳號、密碼及其他敏感性資料時,應以
憑證驗證或加密機制確保傳送安全。
(d).透過行動應用程式儲存密碼、憑證、交易或帳務等敏感性資料
時,應對儲存之資料進行雜湊(Hash)或加密控管保護。
(e).透過行動應用程式處理交易或金流作業時,宜留存存取日誌,
且存取日誌應予以保護以防止未經授權存取。
(4)物聯網:
應訂定物聯網相關資訊安全規範與管理辦法,須包含下列項目:
a.應建立物聯網設備管理清冊並至少每年更新一次,且應變更前開設
備之初始密碼。
b.物聯網設備應具備安全性更新機制且定期(每年一次)更新,如存
在已知弱點無法更新時,應建立補償性管控機制。
c.應關閉物聯網設備不必要之網路連線及服務,避免使用對外公開的
網際網路位置。
d.如與物聯網設備供應商簽定採購合約時,其內容宜包含資訊安全相
關協議,明確約定相關責任(如:服務承諾、安全性更新年限、主
動通報設備已知資安漏洞並提出相關應變處置方案),確保設備不
存在已知安全性漏洞。
|
|