A-1
附錄 A
資通安全管理規範
本標準列出之控制目標與控制措施乃參考 ISO/CNS 27001:2013 附錄 A 控制 措施,並依據原有「教育體系資通安全規範」,以及教育體系與相關單位既有之 屬性與特點,歸納各等級應有安全控制措施。
為方便各施行單位承辦人員與驗證稽核人員參照國際與國家標準的要求與 實作指引。本規範控制措施條文要求援引 ISO/CNS 27001:2013 附錄 A 控制措施 的條文編號與說明,而控制措施實作指引中,屬原有控制措施者依據原有「教育 體系資通安全規範」進行說明,新增控制措施部分則增加 ISO/CNS 27002:2013 實 作指引說明。各單位在實作時宜參考相關內容,以確保執行的完整性,實作指引 說明將如有「應」一字為必要執行項目,「宜」一字則為可選擇是否執行之項目,
施行單位可依據其資訊系統特性與風險狀況選用適當之實作方式。
同時,為減少各施行單位轉換上的困難,援引原有學群分類方式進行安全等 級歸類。施行單位可依據「附件 1 各級教育機構適用控制項對照表」之建議導入 各適用之控制措施,同時應參考「資訊系統分級與資安防護基準作業規定」,鑑 別適用範圍內資訊系統之安全等級, 施行單位識別出具有等級為「高」者之資 訊系統時,則應加入 A.14 系統獲取、開發及維護與 A.15 供應者關係等控制領域 所有控制措施,並於該控制措施中述明適用之資訊系統。各單位得考量自身之需 求與特性,考慮增加其他必要之控制目標及控制措施。
附註:控制項編號下(I/P)註記代表 ISMS 與 PIMS 可共用項目,並以規範建置步 驟與附錄 A 控制項編號進行對照,俾便施行單位進行 ISMS 的建置作業,同時導 入 PIMS 則應考量適用該共用項目以符合 ISMS 與 PIMS 的要求。
A.5
資訊安全政策訂定與評估
所謂的資訊安全政策,代表著管理階層的決心以及其對於單位推動資訊安全的支持,除了 制定資訊安全政策以貫徹至單位上下外,不斷的評估、檢視已制定資訊安全政策的合適性與 否,也是重要的部份;本章節的重點,在於管理階層的態度表示,雖不至於各項細節皆事必躬 親,然而大方針的規劃與制定,將能讓所有的員工體認管理者的投入,以及對於單位資訊安全 重要性的了解。
本章節主要的內容可參照下表:
規範
附錄 B 原規範
A.5 資訊安全政策 A.5
控制目標 A.5.1 資訊安全之管理指導方針 B.1.1 A.5.1
控制項
A.5.1.1 (I/P)
資 訊 安 全 政 策
資訊安 全政策應由管理 階層定義 並核 准,且對給所有員工及相關外部各方公 布及傳達。
B.1.1.1 A.5.1.1
A.5.1.2 (I/P)
資 訊 安 全 政 策之審查
資訊安全政策應依規劃之期間或發生重 大變更 時審查,以確保 其持續的 合宜 性、適切性及有效性。
B.1.1.1 A.5.1.2
實作指引
(一) 資訊安全之管理指導方針(A.5.1)
1. 資訊安全政策(A.5.1.1)
資訊安全政策應由管理階層定義並核准,且對給所有員工及相關外部各方公布及 傳達。
施行單位制定資訊安全控制政策或原則,應說明管理階層的承諾及該單位管理資 訊安全的方法,宜含括下列事項:
(1) 符合法令及契約對施行單位資訊安全的要求與規定。
(2) 人員資訊安全角色與責任的相關規定,宜載明於人員工作說明書或相關作業 手冊中。
(3) 施行單位員工如違反資訊安全相關規定,應依紀律程序處理。
(4) 政策遵須所需參考文件,例如針對特定資訊系統的詳盡安全政策和程序或使 用者應遵守的安全規則。
2. 資訊安全政策之審查(A.5.1.2)
資訊安全政策應依規劃之期間或發生重大變更時審查,以確保其持續的合宜性、
適切性及有效性。
面對資訊安全事件的發生、資訊安全相關法令與其他影響因素的改變時,資訊安 全控制政策或原則應進行即時的評估,並定期(宜每半年)審查政策或原則的可 行性與有效性。
施行單位宜評估資訊安全控制政策或原則,含括下列事項:
(1) 資訊安全評估對象宜包含資訊設備及系統提供者、資訊及資料擁有者、使用 者、管理者、系統維護者與其他相關人員。
(2) 資訊系統管理者宜配合定期(宜每半年)資訊安全評估作業,檢討相關人員 是否遵守施行單位之資訊安全控制政策、規範與其他規定。
(3) 宜定期(宜每半年)檢討評估各項軟、硬體設備的安全性,確保其符合施行 單位的安全標準。
(4) 安全評估可視需求委由內部或外界專業人員進行,以人工或自動化軟體工具 方式執行,產生技術評估報告,供日後解讀分析。
(5) 評估宜記錄備查。
(6) 修訂過的控制政策宜獲得管理階層的批准。
A.6
資訊安全組織
在施行單位資訊安全政策建立完成後,執行組織因應而生,以落實及推動各項既定政策;
因此,施行單位應由副首長以上擔任或指定管理制度之管理人或召集人,代表學校或單位落實 資訊安全的決心,負責推動資訊安全組織,召開資訊安全會報、訂定權責分屬、主導評估建置 等相關活動,除了解各項需求外,籌備必要資源,確保資訊安全措施正常運作,建立起一完善、
安全之環境,降低施行單位資訊安全威脅的機率。
本章節主要的內容可參照下表:
規範
附錄 B 原規範
A.6 資訊安全之組織
A.6 A10 A.11
控制目標 A.6.1 內部組織 柒二
(B.2.1
A.6.1 A.10.1
控制項
A.6.1.1 (I/P)
資 訊 安 全 之
角色及責任 應定義及配置所有資訊安全責任。
柒二(三) B.2.1.1 B.2.1.2 B.2.1.3
A.6.1.1
A.6.1.2 職務區隔
衝突之職務及責任範圍應予以區隔,
以降低組織資產遭未經授權或非蓄 意修改或誤用之機會。
A.10.1.3
A.6.1.3
與 權 責 機 關
之聯繫 應維持與相關權責機關之適切聯繫。 A.6.1.4
A.6.1.4
與 特 殊 關 注 方之聯繫
應維持與各特殊關注方或其他各種 專家安全論壇及專業協會之適切聯 繫。
A.6.1.5
A.6.1.5 (建議)
專 案 管 理 之 資訊安全
不論專案之型式,應在專案管理中因 應資訊安全。
控制目標 A.6.2 行動裝置及遠距工作 A.11.6
控制項
A.6.2.1
行 動 裝 置 政 策
應採用政策及支援之安全措施,以管
理因使用行動裝置所導致之風險。 A.11.6.1
A.6.2.2 遠距工作
應實作政策及支援之安全措施,以保 護存取、處理或儲存於遠距工作場所 之資訊。
A.11.6.2
實作指引
(一)內部組織(A.6.1)
1. 資訊安全之角色及責任(A.6.1.1)
應定義及配置所有資訊安全責任。
管理制度管理人或召集人應由施行機關(構)或學校之副首長以上擔任或指定,並 應依據「教育部與所屬機關(構)及學校資通安全責任等級分級作業規定」或相關資 安規定中各級單位資安專責人力要求進行指派。
由 ISMS 管理人與管理小組舉辦之定期(宜每半年)資訊安全會報,召集相關單位 代表進行工作與責任的分派,確保資訊安全相關計畫的進行,並展現管理階層的 支持。
定期(宜每半年)召開之資訊安全會報權責宜包含:
(1) 訂定資訊安全角色與權責分工,賦予相關人員應有之安全權責,包含資訊安 全相關政策、計畫、措施、技術規範、安全技術研究、建置、評估,乃至使 用管理、保護、資訊機密維護、稽核等,並以書面或其他方式記錄留存。
(2) 確保安全活動符合資訊安全政策。
(3) 資訊安全教育訓練及認知之提昇。
(4) 評估資訊安全事項審查及監視的結果,並針對資訊安全事故提出適當的行動 方案。
2. 職務區隔(A.6.1.2)
衝突之職務及責任範圍應予以區隔, 以降低組織資產遭未經授權或非蓄意修改或 誤用之機會。
資訊安全責任之分散,宜考量:
(1) 對關鍵性資訊業務,分散資訊安全管理及執行作業的責任,建立相互制衡機 制,分別賦予相關人員必要的安全責任,以降低人為疏忽或故意,導致資料 或系統遭不法或不當之使用,或遭未經授權的人員竄改;。
(2) 宜在資訊人力許可下,盡可能由不同人員執行下列業務及功能:
a. 業務系統之使用。
b. 資料建檔。
c. 系統使用與操作。
d. 網路管理。
e. 系統管理。
f. 系統發展及維護。
g. 變更管理。
h. 安全管理。
i. 安全稽核。
3. 與權責機關之聯繫(A.6.1.3)
應維持與相關權責機關之適切聯繫。
為確保資訊安全作業的順利運行,需與執法機關、主管機構、資訊服務廠商及電 信公司建立適當的溝通管道。
在跨機關的合作與協調上,宜達到:
(1) 與資訊安全業務相關機關視需求建立與維護適當的互動管道,以即時獲得外
部的資源協助,解決相關問題。
(2) 在與外部機關互動交流時,宜予以適當的限制,防止敏感性資訊遭未經授權 之存取。
4. 與特殊關注方之聯繫(A.6.1.4)
應維持與各特殊關注方或其他各種專家安全論壇及專業協會之適切聯繫。
在必要時,須向單位內部專業人員或外部專業諮詢人員徵詢、協調資訊安全建議。
在資訊安全顧問及諮詢方面,宜考量:
(1) 施行單位資訊安全人力、能力和經驗不足情況下,得以委請內部專業人員或 外界專家學者提供顧問諮詢的服務。
(2) 對經由委請之提供顧問諮詢服務的專家學者,相關單位及人員應予以必要的 協助及支援。
5. 專案管理之資訊安全(A.6.1.5)(建議)
不論專案之型式,應在專案管理中因應資訊安全。
對於有完成時間之資訊相關專案,如資訊系統發展、維護或升級專案、軟硬體購 置或升級專案等,宜考量在專案管理之資訊安全,如:
(1) 將資訊安全目標涵蓋於專案目標內。
(2) 在專案的初期階段實施資訊安全風險評鑑以識別必要的控制措施。
(3) 資訊安全要求事項納入專案各階段管理作業。
(4) 在所有專案中宜每階段或專案變更前處理與審查資訊安全相關議題。
(5) 在專案管理方法中宜對特定角色界定與賦予資訊安全責任。
(二)行動裝置及遠距工作(A.6.2)
1. 行動裝置政策(A.6.2.1)
應採用政策及支援之安全措施,以管理因使用行動裝置所導致之風險。
使用行動裝置時,應特別小心以確保不會危及營運資訊。行動裝置政策宜考慮在 無保護的環境下以行動裝置工作的風險。
在公共場所、會客室以及其他無保護區域,使用行動裝置應謹慎。宜備妥保護措 施避免在這些裝置上儲存與處理的資訊遭到未經授權存取或揭露,例如使用密碼 技術與強制使用機密鑑別資訊。
行動裝置政策宜考慮下列事項:
(1) 行動裝置之註冊。
(2) 實體保護之要求。
(3) 軟體安裝之限制。
(4) 行動裝置軟體版本與適用修補程式的要求。
(5) 連接資訊服務的限制。
(6) 存取控制。
(7) 密碼學技術。
(8) 惡意軟體保護。
(9) 遙控關閉、抹除及鎖定。
(10) 備份。
(11) 網頁服務與網頁應用系統之使用。
2. 遠距工作(A.6.2.2)
應實作政策及支援之安全措施,以保護存取、處理或儲存於遠距工作場所之資訊。
關於遠距工作活動的控管宜:
(1) 適用單位既訂之作業控制措施,降低各種可能的資訊安全風險。
(2) 受到權責單位的核可及符合相關規定,才得以進行遠距工作。
A.7
人力資源安全
再怎麼嚴密完整的政策與控制措施,缺乏觀念正確、訓練有素的人員執行,亦是惘然。因 此,施行單位所屬相關人員需針對其擔負的資訊安全責任,進行管理與教育訓練,透過定期的 課程訓練,確保其在職位上能執行各項相關資訊安全措施,降低可能的資訊安全風險。
本章節主要的內容可參照下表:
規範
附錄 B 原規範
A.7 人力資源安全 A.8
控制目標 A.7.1 聘用前 B.10.1
控制項
A.7.1.1 (I/P)
篩選
對所有可能被聘用者所進行之背景 調查,應依照相關法律、法規及倫 理, 並應相稱於營運要求及其將存 取之資訊保密等級及組織所察覺之 風險聘用。
B.10.1.1
A.7.1.2 (I/P)
聘 用 條 款 及 條件
施行單位與員工及承包者簽訂之契 約化協議書,應敘明雙方對資訊安全 的責任。
B.10.1.1
控制目標 A.7.2 聘用期間 B.3.1
B.10.1
A.8.2
控制項
A.7.2.1 (I/P)
管 理 階 層 責 任
管 理 階 層 應 要 求 所 有 員 工 及 承 包 者,依施行單位所建立政策及程序施 行資訊安全事宜。
B.10.1.1
A.7.2.2 (I/P)
資 訊 安 全 認 知、教育及訓 練
施行單位內所有員工及相關之承包 者,均應接受及其工作職務相關的組 織政策及程序之適切認知、教育及訓 練,並定期更新。
柒四(二) 柒四(三) B.3.1.2 B.10.1.1
A.8.2.1
A.7.2.3 懲處過程 應具備正式即已傳達之懲處過程,以
對違反資訊安全之員工採取行動。 A.8.2.2
控制目標 A.7.3 聘用之終止及變更 B.10.1 A.8.3
控制項 A.7.3.1 (I/P)
聘 用 責 任 之 終止或變更
應對員工及承包者定義、傳達於聘用 終止或變更後資訊安全責任及義務 仍保持有效,並執行之。
B.10.1.1 A.8.3.1
實作指引
(一)聘任前(A.7.1)
1. 篩選(A.7.1.1)
對所有可能被聘用者所進行之背景調查,應依照相關法律、法規及倫理, 並應相
稱於營運要求及其將存取之資訊保密等級及組織所察覺之風險聘用。
執行或接觸機密或敏感性業務的人員,在聘用前應考量依照相關法令法規及倫 理,及營運要求與風險,進行背景查核或評估。
為特定資訊安全角色而聘用人員時,施行單位宜確保應徵者:
(1) 有必要資格以執行資訊安全角色。
(2) 可被信賴以承擔該角色,特別是施行單位之關鍵角色。
2. 聘用條款及條件(A.7.1.2)
施行單位與員工及承包者簽訂之契約化協議書,應敘明雙方對資訊安全的責任。
施行單位應讓員工了解在資訊安全上應負的一般及特定之資訊安全責任,包括資 訊安全事件的通報。(原 A.5.1.1)
施行單位與員工及承包者簽訂之聘僱契約等或保密協議書等契約化協議,應敘明 雙方對資訊安全的責任。
員工的契約義務宜反映施行單位的資訊安全政策:
(1) 資訊安全角色與責任宜在聘用前向工作應徵者進行傳達。
(2) 施行單位宜確保員工所擁有的資訊系統和服務存取權限僅限於雙方簽訂之協 議書範圍內。
(3) 適當時,聘用條款與條件所包含的責任在結束聘用關係後宜持續一段期間。
(二)聘用期間(A.7.2)
1. 管理階層責任(A.7.2.1)
管理階層應要求所有員工,依施行單位所建立政策及程序施行資訊安全事宜。
管理階層責任宜包括確保員工:
(1) 核准存取敏感的資訊或資訊系統前,瞭解其資訊安全角色與責任。
(2) 對個人安全角色與責任的認知程度,符合聘用條款與條件,擁有適切的技能 與資格,並定期(宜每半年)接受教育訓練。
(3) 具有通報管道以通報資訊安全政策或程序之違反情事。
2. 資訊安全認知、教育及訓練(A.7.2.2)
所有員工及相關之承包者,均應接受及其工作職務相關的組織政策及程序之適切 認知、教育及訓練,並定期更新。
應依據「教育部與所屬機關(構)及學校資通安全責任等級分級作業規定」或相關資 安規定中各級單位資安教育訓練要求進行規劃。
施行單位內所有員工、合作廠商與第三方使用者應接受適當之資訊安全訓練,以 及資訊安全政策與程序之認知宣導課程。
有關資訊安全教育與訓練的部份:
(1) 宜定期(宜每半年)以人員角色及職能為基礎,針對不同層級人員進行進行 資訊安全教育及訓練,促使員工了解資訊安全的重要性以及各種可能的安全 風險,提高員工資訊安全意識,並遵守資訊安全規定。
(2) 施行單位同意及授權使用者存取系統前,宜教導使用者登入系統之程序,以 及如何正確地操作及使用軟體及違規處理。
(3) 非施行單位所屬員工之相關人員,宜確保其對資訊安全政策、相關控制及程 序有一定的了解,並清楚其資訊安全責任。
3. 懲處過程(A.7.2.3)
應具備正式即已傳達之懲處過程,以對違反資訊安全之員工採取行動。
依據既定之條款或合約,違反施行單位之資訊安全政策與程序之人員,應予以適 當之懲罰處理。
(三)聘用之終止及變更(A.7.3)
1. 結束聘用之處理(A.7.3.1)
應對員工及承包者定義、傳達於聘用終止或變更後資訊安全責任及義務仍保持有 效,並執行之。
對於離調職員工傳達資訊安全要求事項與法律責任仍應持續遵守,並儘可能包括 所有保密協議或聘用條款與條件中所包含的責任,且在結束聘用關係後宜持續一 段期間。
A.8 資產管理
為確保施行單位資產獲得適切的保護,明確的資產分類與保護層級,提高資產保管執行效 率,降低受危害的可能性,勢必進行徹底財產清點與分類;由於財產記錄在各學校單位已有職 掌單位,為避免工作重疊的浪費,可僅進行補充加強的部份,擴充既有的資訊資產清單,使其 符合資訊安全政策,降低可能的威脅及危險。
本章節主要的內容可參照下表:
規範
附錄 B 原規範
A.8 資產管理
A.7 A.8 A.10
控制目標 A.8.1 資產責任 B.4.1
A.7.1 A.8.3
控制項
A.8.1.1 (I/P)
資產清冊
應識別與資訊及資訊處理設施相關 聯之資產,並製作及維持此等資產之 清冊。
B.4.1.1 A.7.1.1
A.8.1.2 資產擁有權 清冊中所維持之資產應有擁有者。 A.7.1.1
A.8.1.3
資 產 之 可 被 接受的使用
對與資訊及資訊處理設施相關聯之 資訊及資產,應識別、文件化及實作 可被接受使用之規則。
A.7.1.1
A.8.1.4 資產之歸還
所有員工及外部使用者於其聘用、契 約或協議終止時,應歸還其據有之全 部組織資產。
A.8.3.2
控制目標 A.8.2 資訊分級 B.4.1
B.10.1
A.7.1 A.10.7
控制項
A.8.2.1 (I/P)
資訊之分級
資訊應依法律要求、價值、重要性及 其對未經授權揭露或修改之敏感性 分級。
B.4.1.2
B.10.1.1 A.7.1.2
A.8.2.2 (I/P)
資訊之標示
應 依 施 行 單 位 所 採 用 之 資 訊 級 方 案,發展及實作一套適切的資訊標示 程序。
B.4.1.2
B.10.1.1 A.7.1.2
A.8.2.3
(I/P) 資產之處置 應依施行單位所採用之資訊分級方
案, 發展及實作處置資產之程序。 B.10.1.1 A.10.7.3
控制目標 A.8.3 媒體處理 B.8.1
B.10.1 A10.7
控制項 A.8.3.1 (I/P)
可 移 除 式 媒 體之管理
應依施行單位所採用之資訊分級方
案, 實作管理可移除式媒體之程序。 B.10.1.1 A.10.7.1
A.8.3.2 (I/P)
媒體之汰除 當不再需要媒體時,應使用正式程序 加以安全汰除。
B.8.1.1 B.10.1.1
A.10.7.2
A.8.3.3 (I/P)
實 體 媒 體 傳 送
應保護含有資訊之媒體在傳送時,不
受未經授權的存取、誤用或毀損。 B.10.1.1
實作指引
(一)資產責任(A.8.1)
1. 資產清冊(A.8.1.1)
應識別與資訊及資訊處理設施相關聯之資產,並製作及維持此等資產之清冊。
應製作所有資訊資產之清冊,並定期(宜每半年)維護、更新。
資訊資產之清冊宜達到:
(1) 建立一份資訊資產目錄,訂定該資產之項目、擁有者及安全等級分類等,並 定期(宜每半年)維護與更新其內容。
(2) 資訊資產參考類別如下:
a. 一般資產:資料庫及資料檔案、系統文件、使用者手冊、訓練教材、作 業性及支援程序、業務永續運作計畫、預備作業計畫等。
b. 軟體資產:應用軟體、系統軟體、發展工具及公用程式等。
c. 實體資產:電腦及通訊設備、磁性媒體資料及其他技術設備。
d. 技術服務資產:電腦及通信服務、其他技術性服務(電源及空調)。 (3) 所有有關資訊系統或服務之資產宜指定專責單位保管,其職掌如下:
a. 確定資訊及資產適當地分級。
b. 定期(宜每半年)審查存取限制及分類。
(4) 有關資訊系統或服務的資產,其可接受的使用方式宜被確認,並以書面或其 他方式記錄後確實執行。
2. 資產擁有權(A.8.1.2)
清冊中所維持之資產應有擁有者。
資訊資產之清冊宜達到:
(1) 所有有關資訊系統或服務之資產宜指定專責單位保管,其職掌如下:
a. 確定資訊及資產適當地分類。
b. 定期(宜每半年)審查存取限制及分類。
3. 資產之可被接受的使用(A.8.1.3)
對與資訊及資訊處理設施相關聯之資訊及資產,應識別、文件化及實作可被接受 使用之規則。
有關資訊系統或服務的資產,其可接受的使用方式應該被確認,並以書面或其他 方式記錄後確實執行。並讓所有具有存取權限的員工或委外單位使用者,知悉資 產可接受的使用方式,相關的資訊安全要求事項,以及其所具有的責任。
4. 資產之歸還(A.8.1.4)
所有員工及外部使用者於其聘用、契約或協議終止時,應歸還其據有之全部組織
資產。
資產繳回應有正式的離職程序,顯示其已繳回單位資產。
資產的繳回宜:
(1) 包括所發給的軟體、單位文件、及設備。其它單位的資產;例如行動運算設 備、信用卡、智慧卡、手冊及其它必須繳回的電子媒體。
(2) 若使用自有的設備處理資訊,宜有正常程序以確保相關資訊已轉移至單位,
並安全的從設備中移除。
(3) 對單位持續操作的重要知識或經驗,宜確實進行移轉或紀錄。
(二)資訊分級(A.8.2)
1. 資訊之分級(A.8.2.1)
資訊應依法律要求、價值、重要性及其對未經授權揭露或修改之敏感或機密性進 行分級作業。
資訊資產分級原則,宜包含:
(1) 資訊安全等級分級原則如下所示:
a. 宜建立資訊安全等級之分級標準,考量資訊分享及限制的影響、未經授 權的系統存取或是系統損害對機關業務的衝擊。
b. 資訊安全等級,依據國家機密保護、個人資料保護及政府資訊公開等相 關法規,將區分為機密性、敏感性及一般性等三類。
c. 界訂資訊安全等級之責任,宜由資料的原始產生者或是由指定的系統所 有者負責。
d. 須執行或參考其他單位訂定之資訊安全等級時,宜特別注意其與本單位 的資訊安全等級,在定義及標準上是否相同。
2. 資訊之標示(A.8.2.2)
應依施行單位所採用之安全等級方案,發展及實作一套適切的資訊標示程序。
資訊資產分級標示原則,宜包含:
(1) 資訊標示的程序需要涵蓋實體與電子格式的資訊與其相關資產。
(2) 標籤宜易於識別,並考量依據媒體型式於程序中述明於何處及如何附加標 籤。程序可界定標籤省略之案例以降低工作負載,例如:非機密資訊之標籤。
(3) 各系統之輸出包含經分級屬於敏感或關鍵之資訊者,宜附上適當的分級標籤。
3. 資產之處置(A.8.2.3)
應依組織所採用之資訊分級方案, 發展及實作處置資產之程序。
重要資產與資料應進行控管,並安全的保存。
保護原則宜包含:
(1) 重要資訊資產宜依相關規定以安全方式保存,以防止遺失、毀壞、被偽造或 竄改。
(2) 超過法定保存期限的資產與資料,可依相關規定刪除或銷毀,但事前宜考量 可能造成的不利影響。
(3) 資產與資料的管理,宜遵循下列原則:
a. 訂定資產與資料保存、儲存、處理等指導原則作為執行的依據。
b. 資料保存期限宜依資料型態及法定保存期限之規定擬定。
c. 宜建立及維護重要資訊資源的目錄。
d. 宜採行適當的措施,保護機關的重要資料,防止資料遺失、毀壞及被偽 造或竄改。
(三)媒體處理(A.8.3)
1. 可移除式媒體之管理(A.8.3.1)
應依組織所採用之資訊分級方案, 實作管理可移除式媒體之程序。
電腦儲存媒體、可攜式媒體或印出報表,應制定控管措施。
資訊資產分類原則,宜包含:
(1) 可隨時攜帶及移動的儲存媒體,宜建立使用管理程序,規範磁帶、磁碟及電 腦輸出報告等使用。
(2) 儘量避免使用有明顯用途標示的資料儲存系統;電腦媒體儲存的資料內容,
不宜在外部以明顯方式標示,以免被輕易地辨識出來。
(3) 可重複使用的資料儲存媒體,不再繼續使用時,宜將儲存的內容消除。
(4) 對於要帶離機關辦公場所的儲存媒體,宜建立書面的授權規定,並建立使用 紀錄,以備日後稽核之用。
(5) 儲存媒體宜依製造廠商提供的保存規格,存放在安全的環境。
(6) 儲存資料的媒體到達製造廠商提供的使用期限時,宜在別處再作儲存,以免 資料遺失。
(7) 宜登記可攜式媒體來減少資料遺失的機會。
(8) 可攜式媒體宜在公務理由上才可使用。
2. 媒體之汰除(A.8.3.2)
當不再需要媒體時,應使用正式程序加以安全汰除。
宜建立媒體安全汰除之正式程序以將機密資訊洩露給未經授權人員的風險降至最 低。安全的汰除含有機密資訊的媒體之程序宜考量資訊的敏感度及下列項目:
(1) 含有機密資訊的媒體宜安全地儲存與汰除,例如:燒毀或撕碎,或清除資料 後由施行單位內其他應用系統使用。
(2) 宜備妥程序以識別可能需要安全汰除的項目。
(3) 許多施行單位提供媒體的收集和汰除服務;宜謹慎選擇有適切控制措施和經 驗的合適外部團體。
(4) 敏感項目的汰除宜予存錄,以利事後查詢與稽核。
3. 實體媒體傳送(A.8.3.3)
應保護含有資訊之媒體在傳送時,不受未經授權的存取、誤用或毀損。
保護傳送含有資訊之媒體,宜考慮下列項目:
(1) 使用可靠的運輸工具或遞送公司。
(2) 所授權的遞送人員清單宜經管理階層同意。
(3) 發展查證遞送人員身分之程序。
(4) 包裝宜足以保護媒體,防止因運送途中任何實體損壞而受損,並符合製造商 的規格,以防範所有可損壞媒體的環境因素,例如暴露於熱源、濕氣或電磁 場。
(5) 保留日誌,識別媒體內容、保護措施以及記錄傳移給運送保管人的次數和目 的地的接收者。
A.9 存取控制
施行單位應鑑別(Identify,該資料機密等級與存取動作)與文件化相關之存取行為,建 立存取控制政策的內容及範圍,防範非經授權存取的可能及危險,降低相關資訊或檔案遭竊取 的威脅,此部分可說是機密或敏感性資料保護的最後一道防線,何種層級人員可進行哪些部分 的存取,皆須訂定嚴密的規範與機制,除可防止外部人員的竊取外,更降低內部洩露的可能。
本章節主要的內容可參照下表:
規範
附錄 B 原規範
A.9 存取控制 A.8,A.11
A.12 控制目標 A.9.1 存取控制之營運要求事項 B.10.1 A.11.3
控制項
A.9.1.1 (I/P)
存取控制政策
存取控制政策應依據營運及資訊安 全要求事項,建立、文件化及審查 之。
B.10.1.2 A.11.1.1
A.9.1.2
對網路及網路 服務之存取
應僅提供予使用者存取其已被特定
授權使用之網路及網路服務。 A.11.3.1
控制目標 A.9.2 使用者存取管理 B.10.1 A.8.3
A.11.1
控制項
A.9.2.1 (I/P)
使用者註冊與 註銷
應實作正式之使用者註冊及註銷過
程, 俾能指派存取權限。 B.10.1.2 A.11.1.1 A.9.2.2
(I/P) (建議)
使用者存取權 限之配置
應實作正式之使用者存取權限配置 程序,以對所有型式之使用者對所有 系統及服務,指派或撤銷存取權限。
B.10.1.2
A.9.2.3 (I/P)
具特殊存取權 限之管理
應限制及控制具特殊存取權限之配
置及使用。 B.10.1.2 A.11.1.2
A.9.2.4 (I/P)
使用者之秘密 鑑別資訊的管 理
應以正式之管理過程控制秘密鑑別
資訊的配置。 B.10.1.2 A.11.1.3
A.9.2.5 (I/P)
使用者存取權 限之審查
施行單位應定期審查使用者存取權
限。 B.10.1.2 A.11.1.4
A.9.2.6 (I/P)
存取權限之移 除或調整
所有員工及外部使用者對資訊及資 訊處理設施之存取權限, 一旦其聘 用、契約或協議終止時,均應予以移 除;或於其聘用、契約或協議變更時 均須調整之。
B.10.1.2 A.8.3.3
控制目標 A.9.3
使用者責任
B.10.1
控制項 A.9.3.1 (I/P)
秘密鑑別資訊 之使用
於使用秘密鑑別資訊時,應要求使用
者遵循施行單位之實務規定。 B.10.1.2
控制目標 A.9.4 系統及應用存取控制 B.10.1
A.11.4 A.11.5 A.12.4
控制項
A.9.4.1 (I/P)
資訊存取限制 應根據存取控制政策, 限制對資訊
及應用系統功能之存取。 B.10.1.2 A.11.5.1 A.9.4.2
(I/P)
保全登入程序 當存取控制政策要求時,應以保全登
入程序,控制對系統及應用之存取。 B.10.1.2 A.11.4.1 A.9.4.3
(I/P)
通行碼管理系 統
通行碼管理系統應為互動式, 並應
確保嚴謹通行碼。 B.10.1.2 A.11.4.2
A.9.4.4
具特殊權限公 用程式之使用
應限制及嚴密控制可能篡越系統及
應用控制措施之公用程式的使用。 A.11.4.3
A.9.4.5
對程式源碼之
存取控制 應限制對程式原始碼之存取。 A.12.4.3
實作指引
(一) 使用者存取控制(A.9.1)
1. 存取控制政策(A.9.1.1)
存取控制政策應依據營運及資訊安全要求事項,建立、文件化及審查之。
資產擁有者宜決定對其資產的存取控制規則、存取權與限制,還有反映相關資訊 安全風險的控制措施之細節和嚴格性。
該政策宜考量下列內容:
(1) 營運應用系統的安全要求。
(2) 資訊傳播和授權政策,以及資訊的安全等級與分級。
(3) 不同系統與網路間存取控制與資訊分級政策的一致性。
(4) 有關保護資料或服務存取的適當法規及所有的契約責任與義務。
(5) 存取控制角色的區隔與特權存取管理。
(6) 存取權限申請與授權程序。
(7) 存取控制措施定期(宜每半年)審查的要求。
(8) 存取權限的移除。
(9) 關於使用者身分和安全鑑別資訊之使用和管理的重要事件歸檔。
2. 對網路及網路服務之存取(A.9.1.2)
應僅提供予使用者存取其已被特定授權使用之網路及網路服務。
施行單位須清楚限定使用者只能直接存取准許使用之服務。
宜制定一項關於網路及網路服務使用的政策,其涵蓋:
(1) 允許存取的網路及網路服務。
(2) 決定那些使用者可以存取那些網路及網路服務的授權程序。
(3) 保護網路連線及網路服務的管理控制措施與程序。
(4) 存取網路及網路服務的方式(例如使用 VPN 或無線網路)。
(5) 存取不同網路服務的使用者鑑別要求。
(6) 網路服務使用的監視。
(二) 使用者存取管理(A.9.2)
1. 使用者註冊及註銷(A.9.2.1)
應實作正式之使用者註冊及註銷過程, 俾能指派存取權限。
關於使用者註冊管理宜:
(1) 對於多人使用的資訊系統,建立正式的使用者註冊程序。
(2) 使用者註冊管理程序,宜考量:
a. 查核使用者是否已經取得使用該資訊系統的正式授權。
b. 查核使用者被授權的程度是否與業務目的相稱,以及符合資訊安全政策 與規定。
c. 以書面或其他方式告知使用者系統存取權利。
d. 要求使用者簽訂約定,使其確實了解系統存取的各項條件及要求。
e. 在系統使用者尚未完成正式授權程序前,資訊服務提供者不得對其提供 系統存取服務。
f. 宜建立及維持系統使用者之註冊資料紀錄,以備日後查考。
g. 使用者調整職務及離(休)職時,宜盡速註銷其系統存取權利。
h. 宜定期(宜每半年)檢查及取消閒置不用的識別碼及帳號。
i. 閒置不用的識別碼不宜重新配予其他的使用者。
2. 使用者存取權限之配置(A.9.2.2)(建議)
應實作正式之使用者存取權限配置程序,以對所有型式之使用者對所有系統及服 務,指派或撤銷存取權限。
指派或撤銷使用者身分識別之存取權限配置程序宜包括:
(1) 使用資訊系統或服務的授權流程。
(2) 查證存取等級授與的適當性,且符合存取政策級職務區隔等要求。
(3) 確保授權程序完成後才開啟存取權限。
(4) 維護資訊系統與服務之使用者存取權限記錄。
(5) 變更角色或工作的使用者須立即調整其存取權限;已離開施行單位的使用者 宜立即移除或封鎖其存取權限。
(6) 資訊系統或服務的擁有者宜定期(宜每半年)審查存取權限。
3. 具特殊存取權限之管理(A.9.2.3)
應限制及控制具特殊存取權限之配置及使用。
關於特許權限的限制與控管宜:
(1) 嚴格管制系統存取特別權限。
(2) 針對有必要特別保護的系統,賦予使用者系統存取特別權限,並依下列的授 權程序管理:
a. 宜確認系統存取特別權限之事項,例如作業系統、資料庫管理系統、應 用系統、需賦予系統存取特別權限的人員名單。
b. 宜依執行業務的需求,視個案逐項考量賦予使用者系統存取特別權限;
系統存取特別權限之配予,宜以執行業務及職務所必要者為限。
c. 宜建立申請系統存取特別權限之授權程序,並只能在完成正式授權程序 後,才能配予使用者;另外,宜將系統存取特別權限之授權資料建檔。
d. 宜促進開發與使用系統的例行作業,以避免授予使用者特別權限的要求。
e. 開發與使用程式,宜避免以特別權限執行。
f. 特別權限宜授予正常營運使用之外的使用者。
4. 使用者之秘密鑑別資訊的管理(A.9.2.4)
應以正式之管理過程控制秘密鑑別資訊的配置。
應建立用於驗證使用者身分的秘密鑑別資訊(如通行碼、加密金鑰或憑證資訊等)
之管理制度。
秘密鑑別資訊之控管宜考量:
(1) 盡量以簽訂書面約定或其他方式,要求使用者善盡保護個人通行碼之責任;
如屬於群組軟體之使用者,宜確保工作群組的通行碼,僅限群組成員使用。
(2) 如由使用者自行保管或維護秘密鑑別資訊(如通行碼)的機密性,宜以配予臨 時性秘密鑑別資訊(如通行碼)並強迫使用者立即更改的方式處理。
(3) 使用者遺失或忘記秘密鑑別資訊時,可於驗證使用者身分後,提供臨時性的 通行碼,以利系統辨認使用者。
(4) 宜以安全的方式將臨時的秘密鑑別資訊(如通行碼)交付使用者,避免經由第 三者,或是以未受保護的電子郵遞等電子方式交付給使用者,並建立確認收 到之機制。
(5) 系統如經評估須建立更高等級的安全機制,可利用電子簽章等安全等級更高 的存取控制技術。
5. 使用者存取權限之審查(A.9.2.5)
資產擁有者應定期審查使用者之存取權限。
施行單位應定期(宜每半年)審查使用者存取權限,其結果應有紀錄留存。 使用者存取權限的審查宜:
(1) 定期(宜每半年)檢討及評估使用者的存取權限。
(2) 當人員實施內部調動時,宜重新審查使用者存取權限。
(3) 定期(宜每半年)檢討特別權限之核發情形。
6. 存取權限之移除或調整(A.9.2.6)
所有員工及外部使用者對資訊及資訊處理設施之存取權限, 一旦其聘用、契約或 協議終止時,均應予以移除;或於其聘用、契約或協議變更時均須調整之。
移除或改變的存取權限宜:
(1) 包括實體及邏輯存取、鑰匙、識別證、資訊處理設施及任何可以顯示其為單 位成員的文件。
(2) 在結束聘用或改變職務之前,評估資訊資產及資訊處理設備的存取權宜該被
降低或是移除。
(3) 若存取權限為多人共用,例如群組帳號,則其權限宜予移除,並通知相關人 員不再與離職人員分享該資訊。
(三) 使用者責任(A.9.3)
1. 秘密鑑別資訊之使用(A.9.3.1)
於使用秘密鑑別資訊時,應要求使用者遵循組織之實務規定。
施行單位於使用秘密鑑別資訊(如通行碼、加密金鑰或憑證資訊等)時,應要求 使用者遵循單位之規定。
使用者宜:
(1) 維持秘密鑑別資訊的機密性,確保不洩露給包括授權人員的任何一方。
(2) 避免保留秘密鑑別資訊的紀錄(例如:在紙張、軟體檔案或手持裝置),除非 其能被安全地存放,且該存放方式經過核准(例如:密碼庫)。
(3) 只要秘密鑑別資訊有可能遭受破解的跡象,宜立即更改。
(4) 選用嚴謹的秘密鑑別資訊,具有足夠長的最短長度(宜至少八碼,英數字混 合)。
(5) 不要與他人共用個人的秘密鑑別資訊。
(6) 自動登入程序中內含秘密鑑別資訊做為機密鑑別資訊並儲存時,宜確保適當 地保護通行碼。
(7) 公務與非公務使用目的勿使用相同秘密鑑別資訊。
(四) 系統及應用存取控制(A.9.4)
1. 資訊存取限制(A.9.4.1)
應根據存取控制政策, 限制對資訊及應用系統功能之存取。
依資訊存取規定,配予應用系統的使用者與業務需求相稱的資料存取及應用系統 的使用權限。
關於作業與應用系統功能的存取限制措施宜:
(1) 以選單方式控制使用者僅能使用系統的部份功能。
(2) 適當的編輯作業手冊,限制使用者僅能獲知或取得授權範圍內的資料及系統 存取知識。
(3) 控制使用者存取系統的能力(例如唯讀、寫入、刪除或執行等功能)。 (4) 處理敏感性資訊的應用系統,系統輸出的資料,宜僅限於與使用目的有關者,
且只能輸出到指定的端末機及位址。
2. 保全登入程序(A.9.4.2)
當存取控制政策要求時,應以保全登入程序,控制對系統及應用之存取。
使用者存取電腦系統應經由安全的系統登入程序。
登入程序建議宜具備下列功能:
(1) 不宜顯示系統及應用系統識別碼,直到成功登入系統。
(2) 在系統登入程序中,必要時宜顯示"只有被授權的使用者才可存取系統"等警 告性的資訊。
(3) 系統不宜在登入程序中,提供未經授權的使用者登入系統的說明或協助使用 者的訊息。
(4) 在完成所有的登入資料輸入後,系統才開始查驗登入資訊的正確性;如果登 入發生錯誤,系統不宜顯示那一部分資料是正確的,那一部分資料是錯誤的。
(5) 宜限制系統登入不成功時可以再嘗試的次數,原則上以三次為原則,系統並 宜:
a. 記錄系統登入不成功的事件。
b. 在使用者嘗試登入系統失敗後,宜強迫必須間隔一段時間之後才能再次 登入。
c. 宜中斷資料連結作業。
(6) 在系統登入被拒絕後,宜立即中斷登入程序,並不得給予任何的協助。
(7) 宜限制系統登入程序的最長及最短時間,如果超出時間限制,系統宜自動中 斷登入。
(8) 在成功登入系統後,宜顯示下列的資訊:
a. 上次成功登入系統的日期及時間。
b. 上次成功登入系統之後,有無被系統拒絕登入的詳細資料。
(9) 登入時不顯示通行碼或以符號隱藏通行碼字元。
(10) 網路上不要以明文方式傳遞通行碼。
必要時限制使用者在高風險應用系統的連線作業時間。
針對連線時間的控制宜:
(1) 對處理機密及敏感性系統的端末機,限定連線作業及網址連線時間,減少未 經授權存取系統的機會。
(2) 限定連線時間措施如:
a. 只允許在設定的時間內與系統連線。
b. 如無特別延長作業時間的需求,限制只能在正常上班時間內進行連線。
c. 宜限制連線的網址。
d. 限制經過一段時間後必需重新認證。
3. 通行碼管理系統(A.9.4.3)
通行碼管理系統應為互動式, 並應確保嚴謹通行碼。
應以安全有效的使用者通行碼管理系統鑑別使用者身份。
關於通行碼之管理宜:
(1) 要求必須使用通行碼,明定系統的使用責任。
(2) 允許使用者自行選擇及更改通行碼;系統宜具備資料輸入錯誤之更正功能。
(3) 要求使用者必須使用最低長度的密碼(建議使用至少八碼,英數字混合的通 行碼)。
(4) 要求使用者定期(三個月一次)更改通行碼。
(5) 以更頻繁的次數定期(少於三個月)更新系統存取特別權限的通行碼。
(6) 使用者自行選擇密碼時,宜在第一次登入系統時強迫使用者更改臨時性密碼。
(7) 建立使用者密碼的歷史紀錄,最好保存至少一年的使用記錄,避免使用者重 複使用相同的密碼。
(8) 在登入系統程序中,系統不宜顯示使用者的密碼資料。
(9) 使用者密碼宜與應用系統資料分開存放。
(10) 使用單向加密演算法儲存使用者密碼。
(11) 在軟體完成安裝作業後,立即更改廠商預設的使用者密碼。
(12) 利用工具檢查,或由使用者自行考量通行碼是否安全可靠,參考基準如下:
a. 是否使用與日期有關的年、月、日。
b. 是否使用公司名稱、識別碼或是其他參考性資訊作為通行碼。
c. 是否以使用者識別碼、團體識別碼或其他系統識別碼作為通行碼。
d. 是否使用重覆出現兩個字以上的識別字碼作為通行碼。
e. 是否使用全數字或全字母作為通行碼。
4. 具特殊權限公用程式之使用(A.9.4.4)
應限制及嚴密控制可能篡越系統及應用控制措施之公用程式的使用。
關於具有特殊權限之系統公用程式的管理宜:
(1) 嚴格限制及控管電腦公用程式之使用。
(2) 制訂公用程式之安控措施,如:
a. 設定使用者密碼以保護系統公用程式。
b. 將系統公用程式與宜用系統分離。
c. 將有權使用系統公用程式的人數限制到最少的數目。
d. 建立臨時使用公用程式的授權制度。
e. 限制系統公用程式的可用性,例如變更公用程式的使用時間授權規定。
f. 記錄系統公用程式的使用情形,備日後考察。
g. 訂定系統公用程式的授權規定。
5. 對程式源碼之存取控制(A.9.4.5)
應限制對程式原始碼之存取。
程式源碼的存取必須採取嚴格的控制措施,避免在存取程式源碼的程序中,造成 程式源碼的損毀。
程式源碼的存取宜:
(1) 應用程式原始碼資料庫宜儘可能不要存放在作業系統的檔案中。
(2) 應用程式原始碼宜指定專人控管。
(3) 不宜核發人員無限制存取應用程式原始碼之權限。
(4) 發展中或是維護中的應用程式,宜與實務作業之程式原始碼資料庫區隔,不 宜放置在一起。
(5) 應用程式原始碼資料庫之更新,以及核發應用程式原始碼供程式設計人員使 用,宜由原始碼資料庫管理人員執行。
(6) 程式目錄清單宜放置在安全的環境中。
(7) 宜建立所有存取程式原始碼資料庫的稽核軌跡。
(8) 舊版的原始程式宜妥慎典藏保管,詳細記錄使用的明確時間,並宜保存所有 的支援應用程式軟體、作業控制、資料定義及操作程序等資訊。
(9) 應用程式原始碼資料庫之維護及複製,宜依嚴格的變更控制程序進行。
A.10
密碼學(加密控制)
為保護資料在處理、使用及傳輸時的機密性與完整性,應藉由加密控制措施,確保適當及 有效使用軟硬體加密機制,以保護資訊之機密性、鑑別性及/或完整性。
本章節主要的內容可參照下表:
規範
附錄 B 原規範
A.10 密碼學(加密控制) A.12
控制目標 A.10.1 密碼式控制措施(加密控制措施) B.10.1 A.12.3
控制項
A.10.1.1 (I/P)
使 用 密 碼 式 控 制 措 施 (加 密 控 制 措 施 ) 政策
應發展及實作政策,關於資訊保護之密碼
式控制措施的使用。 B.10.1.2 A.12.3.1
A.10.1.2 (建議)
金鑰管理
應加以發展及實作政策,關於貫穿其整個 生命週期之密碼金鑰的使用、保護及生命 期。
A.12.3.2
實作指引
(一) 密碼式控制措施(加密控制措施)(A.10.1)
1. 使用密碼式控制措施(加密控制措施)政策(A.10.1.1)
應發展及實作政策,關於資訊保護之密碼式控制措施(加密控制措施)的使用。
必須發展加密控制措施保護資訊之政策。
資訊保護之密碼式控制措施(加密控制措施)政策宜:
(1) 對高機密性或敏感性的資訊,宜在傳輸或儲存過程中以加密方法保護。
(2) 是否使用加密方法,宜進行風險評估,以決定採取何種等級的安全保護措施。
(3) 使用加密技術時,如資訊專業人力及經驗不足,可借重外界學者專家提供技 術諮詢服務。
2. 金鑰管理(A.10.1.2)(建議)
應加以發展及實作政策,關於貫穿其整個生命週期之密碼金鑰的使用、保護及生 命期。
以一套公認之標準、流程及方法為金鑰管理系統之基礎,支援加密技術之運用。
(1) 憑證機構金鑰之產生、儲存、使用、備份、銷毀、更新及復原作業等,宜建 立嚴格的安全管理機制。
(2) 憑證機構資訊系統(含應用系統、密碼模組等)之安全驗證,宜遵照權責主 管單位訂定之規範作業,以確保其安全性。
(3) 憑證機構使用之數位簽章或加密金鑰長度,宜依權責主管單位建議之參考值 及視系統的安全需求設定。
A.11
實體及環境安全
為保護資訊處理設施以及所在位置的安全,除環境的管制保護措施外,軟硬體的防護措施 也需徹底實行,以有效降低資訊安全事件發生的機率。這部份為各項資訊資產保護的基礎,再 嚴密的處理程序及規範,缺少實體及環境的安全落實,仍舊無法達到保護的目的,因此,此部 分管理措施的落實與否,實為各項進一步控管制度的基石。
本章節主要的內容可參照下表:
規範
附錄 B 原規範
A.11 實體及環境安全 A.9
A11
控制目標 A11.1
安全區域
B.10.1 A.9.1
控制項
A11.1.1 (I/P)
實 體 安 全 周 界
應定義及使用安全周界,以保護收容敏感
或重要資訊及資訊處理設施之區域。 B.10.1.1 A.9.1.1 A.11.1.2
(I/P)
實 體 進 入 控 制措施
保全區域應藉由適切之進入控制措施加
以保護,以確保僅允許經授權人員進出。 B.10.1.1 A.9.1.2
A.11.1.3
保 全 之 辦 公 室、房間及設 施
應設計資訊處理設施所在區域之實體安
全並施行之。 A9.1.3
A.11.1.4
防 範 外 部 及 環境威脅
應設計並施行實體保護,以防範天然災
害、惡意攻擊或事故。 A.9.1.3
A.11.1.5
於 保 全 區 域 內工作
應設計及施行資訊處理設施所在區域內
工作之程序。 A.9.1.3
A.11.1.6 (建議)
交 付 及 裝 卸 區
對諸如交付及裝卸區及其他未經授權人 員可進入作業場所之進出點,應加以控 制;若可能,應與資訊處理設施隔離,以 避免未經授權之存取。
控制目標 A.11.2 設備 B.8.1
B.10.1
A.9.2 A.11.2
控制項
A.11.2.1 (I/P)
設 備 安 置 及 保護
應安置並保護設備, 以降低來自環境之 威脅及危害造成的風險, 以及未經授權 存取之機會。
B.10.1.1 A.9.2.1
A.11.2.2
支 援 之 公 用 服務事業
應保護設備免於電源失效,及因其他支援
之公用服務事業失效,所導致之中斷。 A.9.2.2
A.11.2.3 佈纜安全 應 保 護 通 訊纜 線 及資 訊 處理 設 備 之電
源,降低受竊聽或破壞的可能損失。 A.9.2.3
A.11.2.4 (I/P)
設備維護 應正確維護設備, 以確保其持續之可用
性及完整性。 B.10.1.1 A.9.2.4 A.11.2.5
(I/P)
財產之攜出 未經事前授權,不得將設備、資訊或軟體
帶出場域外。 B.10.1.1 A.9.2.7
A.11.2.6 (建議)
場 所 外 設 備 及 資 產 的 安 全
安全應適用於場域外資產,並將於施行單 位場所外工作之不同風險納入考量。
A.11.2.7 (I/P)
設 備 汰 除 或 再 使 用 之 保 全
含有儲存媒體之所有設備組件, 於汰除 前或再使用前應加以查證,以確保任何敏 感性資料及有版權之軟體已被移除或安 全地覆寫。
B.8.1.1 B.10.1.1
A.9.2.5
A.11.2.8 (建議)
無 人 看 管 之 使用者設備
使用者應確保無人看管之設備具備適切 保護。
A.11.2.9
桌 面 淨 空 及 螢 幕 淨 空 政 策
對紙本及可移除式儲存媒體應採用桌面 淨空政策, 且對資訊處理設施應採用螢 幕淨空政策。
A.11.2.1
實作指引
(一)區域之安全(A.11.1)
1. 實體安全周界(A11.1.1)
應定義及使用安全周界,以保護收容敏感或重要資訊及資訊處理設施之區域。
施行單位應採用適當防護措施保障資訊處理設施所在區域(機房設備、人員辦公 區域)的安全。
資訊處理設施所在區域之安全宜:
(1) 以事前劃定的各項週邊設施為基礎,設置必要的管制,達成安全控管的目的。
(2) 依資訊資產及服務系統的價值及安全風險,決定實體保護的程度。
2. 實體進入控制措施(A11.1.2)
保全區域應藉由適切之進入控制措施加以保護,以確保僅允許經授權人員進出。
施行單位應實施控制措施,確保只有授權人員可以進出安全區域。
關於人員進出安全區域的管制,宜確保:
(1) 有適當的進出管制保護措施,使無授權的人員不得進入。
(2) 來訪人員進入管制區宜予適當管制,並紀錄進出時間;來訪人員只有在特定 的目的或是被授權情形下,才能進入管制區。
(3) 員工離職後,宜立即撤銷進入管制區的權利。
3. 保全之辦公室、房間及設施(A.11.1.3)
應設計資訊處理設施所在區域之實體安全並施行之。
為確保區域之安全性,採取的控制措施與指引宜包含:
(1) 資訊處理設施宜遠離大眾或是公共運輸系統可直接進出的地點。
(2) 資訊處理設施宜儘可能不要有過於明顯的標示;在建築物內部及外部的說
明,儘可能不要有過於明顯的指引或配置說明。
(3) 顯示機密資訊處理設施的地點或人員通訊錄,不宜讓未經授權人員取得。
4. 防範外部及環境威脅(A.11.1.4)
應設計並施行實體保護,以防範天然災害、惡意攻擊或事故。
為確保區域之安全性,採取的控制措施與指引宜包含:
(1) 資訊處理設施所在區域宜設立良好的實體安全措施,考量各種自然及人為災 害的可能性,考量鄰近空間的可能安全威脅。
(2) 危險性及易燃性物品宜遠離資訊處理設施的安全地點;非有必要,電腦相關 文具設備不宜存放在電腦機房內。
(3) 備援作業用的設備及備援媒體,宜存放在安全距離以外的地點。
(4) 宜安裝適當的安全偵測及防制設備,各項安全設備宜依廠商的使用說明書定 期(宜每半年)檢查,並針對相關員工進行適當的安全設備使用訓練。
5. 於保全區域內工作(A.11.1.5)
應設計及施行資訊處理設施所在區域內工作之程序。
為確保於保全區域工作安全,所採取的控制措施宜包含:
(1) 僅讓授權員工知道該保全區域或在區域內進行的活動。
(2) 區域內宜避免進行未受監督之工作。
(3) 無人的保全區域,加以上鎖並定時檢查。
(4) 非經授權不宜允許進行拍照、錄影及其他紀錄活動。
6. 交付及裝卸區(A.11.1.6)(建議)
對諸如交付及裝卸區及其他未經授權人員可進入作業場所之進出點,應加以控 制;若可能,應與資訊處理設施隔離,以避免未經授權之存取。
宜考慮下列事項::
(1) 宜限制只有經過識別並被授權的人員才能從建物外面進出交付及裝卸區。
(2) 交付及裝卸區宜設計讓遞送人員不需要進入建築物的其他位置即可裝卸貨 物。
(3) 宜在確定交付及裝卸區的對外大門安全時,才能開啟對內大門。
(4) 進入物品從交付及裝卸區移動前,宜進行檢查是否有爆裂物、化學品或其他 危害物質。
(5) 宜在入口處依資產管理程序對進入貨物進行登記。
(6) 如果可行,進貨及出貨宜在實體上隔離。
(7) 宜檢視進入物品是否有在途中開啟之證據。若發現已被開啟,宜立即通報安 全人員
(二)設備(A.11.2)
1. 設備安置及保護(A.11.2.1)
應安置並保護設備, 以降低來自環境之威脅及危害造成的風險, 以及未經授權 存取之機會。
施行單位應安置或保護設備,降低環境之威脅、災害以及未授權存取所造成的可 能損失。
設備安置須遵循下列之原則:
(1) 設備宜盡量安置在可減少人員不必要經常進出的工作地點。處理機密性及敏 感性資料的工作站,宜放置在員工可以注意及照顧的地方。
(2) 需要特別保護的設備,宜考量與一般設備區隔,安置在獨立的區域。
(3) 宜檢查及評估火災、煙、火、灰塵、震動、化學效應、電力供應、電磁輻射 等可能的風險。
(4) 電腦作業區宜禁止抽菸及飲用食物。
2. 支援之公用服務事業(A.11.2.2)
應保護設備免於電源失效,及因其他支援之公用服務事業失效,所導致之中斷。
施行單位應保護資訊處理設備,降低電力、電信、供水或空調等公用服務失效或 異常所造成中斷或影響的機會。
有關於資訊處理設備所使用的公用服務宜:
(1) 防止公用服務不正常導致的傷害;各項公用服務供應宜依據製造商提供的規 格設置。
(2) 考量定期對各公用服務容量規劃與評估,並考量建立警報系統偵測故障。
(3) 宜考量安置預備電源,並考量使用不斷電系統;不斷電系統宜依據製造廠商 的建議,定期(宜每半年)進行測試。
(4) 宜謹慎使用電源延長線,以免電力無法負荷導致火災等安全情事。
(5) 將公用服務失效之後的應變措施納入資訊安全事件緊急處理應變計畫。
3. 佈纜安全(A.11.2.3)
應保護傳送資料或支援資訊服務之電源及電信佈纜, 以防範竊聽、干擾或損害。
施行單位應保護通訊纜線及資訊處理設備之電源,降低受竊聽或破壞的可能損失。
電力及通信用的電纜線宜予適當的保護,其保護原則如下:
(1) 連接資訊設施的電源及通信線路,宜盡可能地下化;如不能地下化,宜視需 求採取足夠的替代保護措施。
(2) 宜考量保護網路通信線路的措施,以防止遭截取或是受到破壞。
(3) 對於特別敏感性或是特別重要的系統,宜採取額外強化的安全措施。
(4) 清楚的識別電纜線與設備標示,以及文件化的清單,減少錯誤發生的可能性。
4. 設備維護(A.11.2.4)
應正確維護設備, 以確保其持續之可用性及完整性。
資訊處理設備應予以適當的維護,確保其持續運作。
為確保設備的完整性及可持續使用宜:
(1) 宜依據廠商建議的維修服務週期及說明,進行設備維護。
(2) 設備的維護只能由授權的維護人員執行。
(3) 宜將所有的錯誤或是懷疑的錯誤予以記載。
(4) 當設備送場外維修時,宜採取適當的控制措施。(例如:將內部敏感性的資料
移清除)
5. 財產之攜出(A.11.2.5)
未經事前授權,不得將設備、資訊或軟體帶出場域外。
施行單位所屬之設備、資訊或軟體未經授權禁止移動。
關於財產移轉之安全管理宜:
(1) 在沒有管理人員授權的情況下,設備、資訊或是軟體不宜被帶離所屬區域。
(2) 宜紀錄攜出與歸還的人員與時間,並查證是否逾時未歸還。
6. 場所外設備及資產的安全(A.11.2.6)(建議)
安全應適用於場域外資產,並將於施行單位場所外工作之不同風險納入考量。
在施行單位場所之外使用任何資訊儲存及處理設備宜經過管理階層授權。此控制 措施適用於施行單位擁有之設備及代表施行單位使用之私有設備。
針對場外設備的保護,宜考慮下列事項:
(1) 攜出場所外之設備和媒體,留置於公共場所時不宜無人看管。
(2) 如因在家、遠距工作及臨時置放場地等,於場外位置使用設備時,宜視需要 採用適當控制措施,例如:可上鎖的檔案櫃、桌面淨空政策、電腦存取控制 措施及與辦公室之遠距通信安全。
(3) 場外設備在不同個人或外部團體間轉移時,宜準備設備保管日誌,其中至少 包括設備負責人員之姓名及單位。
7. 設備汰除或再使用之保全(A.11.2.7)
含有儲存媒體之所有設備組件, 於汰除前或再使用前應加以查證,以確保任何敏 感性資料及有版權之軟體已被移除或安全地覆寫。
資訊處理設備在報廢或再使用的過程中,應避免內存資料的外洩,進行必要之清 除動作。
有關於設備處理之安全措施,需在儲存媒體的設備項目(例如硬碟)處理前詳加 檢查,確保任何機密性、敏感性的資料及有版權的軟體已經被移除。
8. 無人看管之使用者設備(A11.2.8)(建議) 使用者應確保無人看管之設備具備適切保護。
所有使用者宜認知保護無人看管使用者設備的安全要求與程序,以及他們實作這 類保護措施的責任,建議使用者宜:
(1) 使用完畢後宜有適切的鎖定機制,例如以通行碼保護的螢幕保護程式。
(2) 使用完畢後登出應用系統或網路服務。
(3) 電腦或行動裝置不用時,使用鑰匙上鎖或同等控制措施,例如通行碼存取以 防止未經授權的使用。
9. 桌面淨空及螢幕淨空政策(A11.2.9)
對紙本及可移除式儲存媒體應採用桌面淨空政策, 且對資訊處理設施應採用螢幕 淨空政策。
應考量採用辦公桌面與螢幕的淨空政策,以減少文件及儲存媒體等在正常的辦公 時間之外遭未被授權的人員取用、遺失、竄改或是被破壞的機會。
考量的事項如下:
(1) 文件及儲存媒體在不使用或是不上班時,宜存放在櫃子內。
(2) 機關的機密性及敏感性資訊,不使用或下班時應該上鎖,最好是放在防火櫃 之內。
(3) 個人電腦及電腦終端機不再使用時,宜以上鎖、通行碼或是其他控制措施保 護。
(4) 宜該考量保護一般郵件進出的地點,以及無人看管的傳真機。
(5) 當列印敏感性或分類機密資訊後,宜立即從印表機上取走。
