信用合作社辦理電腦系統資訊安全評估辦法

(1)

1

信用合作社辦理電腦系統資訊安全評估辦法

壹、依據

奉金融監督管理委員會 104 年 11 月 9 日金管銀合字第 10400253730 號函辦理。

貳、前言

為確保信用合作社提供電腦系統具有一致性基本系統安全防護能力，並參照中華民國銀行商業同業公會全國聯合會制訂之「金融機構資訊系統安全基準」及「金融機構辦理電子銀行業務安全控管作業基準」，擬透過各項資訊安全評估作業，發現資安威脅與弱點，

藉以實施技術面與管理面相關控制措施，以改善並提升網路與資訊系統安全防護能力，訂定本辦法。

參、評估範圍

一、信用合作社應就整體電腦系統（含自建與委外維運）依據本辦法建構一套評估計畫，基於持續營運及保障客戶權益，依資訊資產之重要性及影響程度進行分類，定期或分階段辦理資訊安全評估作業，並提交「電腦系統資訊安全評估報告」，辦理矯正預防措施，並定期追蹤檢討。

二、電腦系統如係委外維運(如：參加電腦共用中心)，信用合作社得委由委外維運單位依據本辦法建構相關設備之評估計畫，辦理資訊安全評估作業，並提交評估報告予信用合作社。

三、評估計畫應報理事會或經其授權之經理部門核定，並至少每三年重新審視一次。

肆、電腦系統分類及評估週期

一、電腦系統依其重要性分為三類：

電腦系統類別定義評估週期第一類直接提供客戶自動化

服務或對營運有重大

每年至少辦理一次資訊安全評估作業

(2)

2

影響之系統（如電子銀行、分行櫃台、ATM 自動化服務等系統）

第二類

經人工介入以直接或間接提供客戶服務之系統（如作業中心、客戶服務系統）

每三年至少辦理一次資訊安全評估作業

第三類

未接觸客戶資訊或服務且對營運無影響之系統（如人資、財會、

總務等系統）

每五年至少辦理一次資訊安全評估作業

二、單一系統且為數眾多之設備得以抽測方式辦理，抽測比例每次至少應占該系統全部設備之 10%或 10 台以上（如：ATM、KIOSK 及分社櫃台端末設備等）；其中相同作業系統與安全更新之 ATM 及 ATM 之相關伺服器至少應抽測一台，相同 ATM 之相關伺服器應用系統版本至少應抽測一台。

三、單一系統發生重大資訊安全事件，應於三個月內重新完成資訊安全評估作業。

伍、資訊安全評估作業

一、資訊安全評估作業項目：

（一）資訊架構檢視

1.檢視網路架構之配置、資訊設備安全管理規則之妥適性等，

以評估可能之風險，採取必要因應措施。

2.檢視單點故障最大衝擊與風險承擔能力。

3.檢視對於持續營運所採取相關措施之妥適性。

（二）網路活動檢視

1.檢視網路設備、伺服器之存取紀錄及帳號權限，識別異常紀錄與確認警示機制。

(3)

3

2.檢視資安設備（如：防火牆、入侵偵測系統、防毒軟體、資料外洩防護等）之監控紀錄，識別異常紀錄與確認警示機制。

3.檢視網路封包是否存在異常連線或異常網域名稱解析伺服器（Domain Name System Server, DNS Server ）查詢，並比對是否為已知惡意 IP、中繼站或有符合網路惡意行為的特徵。

（三）網路設備、伺服器及端末設備等設備檢測

1.辦理網路設備、伺服器及端末設備的弱點掃描與修補作業。

2.檢測伺服器及端末設備是否存在惡意程式，包括具惡意行為之可疑程式、有不明連線之可疑後門程式、植入一個或多個重要系統程式之可疑函式庫、非必要之不明系統服務、具隱匿性之不明程式及駭客工具等。

3.檢測系統帳號登入密碼複雜度；檢視外部連接密碼（如：檔案傳輸【File Transfer Protocol, FTP】連線、資料庫連線等）之儲存保護機制與存取控制。

（四）Internet 伺服器進行下列檢測 1.滲透測試。

2.程式原始碼掃描或黑箱測試。

3.檢視網站目錄及網頁之存取權限。

4.檢視系統是否有授權連線遭挾持、大量未驗證連線耗用資源、資料庫死結（deadlock）、CPU 異常耗用、不安全例外處理及不安全資料庫查詢命令（包括無限制條件及無限制筆數）等情況。

（五）客戶端應用程式檢測

針對交付給客戶之應用程式進行下列檢測：

1.提供 http、https、FTP 者應進行弱點掃描。

2.程式原始碼掃描或滲透測試。

3.敏感性資料保護檢測（如：記憶體、儲存媒體）。

4.金鑰保護檢測。

（六）安全設定檢視

1.檢視伺服器（如：網域服務 Active Directory）有關「密碼設定原則」與「帳號鎖定原則」設定。

(4)

4

2.檢視防火牆是否開啟具有安全性風險的通訊埠或非必要通訊埠，連線設定是否有安全性弱點。

3.檢視系統存取限制（如：存取控制清單 Access Control List）及特權帳號管理。

4.檢視作業系統、防毒軟體、辦公軟體及應用軟體等之更新設定及更新狀態。

5.檢視金鑰之儲存保護機制與存取控制。

（七）合規檢視

1.依實際業務辦理情形，檢視整體電腦系統是否符合「金融機構資訊系統安全基準」有關提升系統可靠性 <技 1 ~ 技 25>

及安全性侵害之對策 <技 26~ 技 51 > 之規範。

2.檢視相關系統是否符合「金融機構辦理電子銀行業務安全控管作業基準」、「金融機構提供行動裝置應用程式注意事項」、「金融機構提供自動櫃員機系統安全作業規範」、「運用新興科技應注意事項」、主管機關及本聯社相關函文之要求。

二、第一類電腦系統應依前項辦理資訊安全評估作業，第二類及第三類電腦系統辦理資訊安全評估作業則依系統特性選擇前項必要之評估作業項目。

陸、社交工程演練

每年應至少一次針對使用電腦系統人員，於安全監控範圍內，寄發演練郵件，加強資通安全教育，以期防範惡意程式透過社交方式入侵。

柒、評估單位資格與責任

一、評估單位可委由外部專業機構或由信用合作社內部單位進行。

如為外部專業機構，應與提供、維護資安評估標的之機構無利害關係，若為信用合作社內部單位，應獨立於電腦系統開發與維護等相關部門。

(5)

5

二、辦理第一類電腦系統資訊安全評估作業之評估單位應具備下列各款資格條件；辦理第二類及第三類電腦系統資訊安全評估作業者，依評估作業項目需要，具備下列相關資格條件之ㄧ：

（一）具備資訊安全管理知識，如持有國際資訊安全經理人

（Certified Information Security Manager, CISM）證書或通過國際資安管理系統主導稽核員（ Information Security Management System Lead Auditor, ISO 27001 LA）

考試合格等。

（二）具備資訊安全技術能力，如國際資訊安全系統專家

（Certified Information Systems Security Professional, CISSP）證書等。

（三）具備模擬駭客攻擊能力，如滲透專家（Certified Ethical Hacking,CEH）證書或事件處理專家（Certified Incident Handler,CIH）證書等。

（四）熟悉金融領域載具應用、系統開發或稽核經驗。

三、相關檢視文件、檢測紀錄檔、組態參數、程式原始碼、側錄封包資料等與本案相關之全部資料，評估單位應簽立保密切結書並提供適當保護措施，以防止資料外洩。

四、評估單位及人員不得隱瞞缺失、不實陳述、洩露資料及不當利用等情事。

捌、評估報告

「電腦系統資訊安全評估報告」內容應至少包含評估人員資格、評估範圍、評估作業項目與標的、評估紀錄、評估時所發現之缺失項目、缺失嚴重程度、缺失類別、風險說明、具體改善建議及社交演練結果，且應送稽核單位進行缺失改善事項之追蹤覆查。該報告應併同缺失改善等相關文件至少保存五年。

玖、本辦法應經中華民國信用合作社聯合社理事會議通過，並報奉主管機關核備後實施，修正時亦同。

(6)

6

信用合作社辦理電腦系統資訊安全評估辦法修正條文對照表

修正後條文現行條文說明

二、單一系統且為數眾多之設備得以抽測方式辦理，抽測比例每次至少應占該系統全部設備之 10%或 10 台以上（如：ATM、KIOSK 及分社櫃台端末設備等）；其中相同作業系統與安全更新之 ATM 及 ATM 之相關伺服器至少應抽測一台，相同 ATM 之相關伺服器應用系統版本至少應抽測一台。

二、單一系統且為數眾多之設備得以抽測方式辦理，抽測比例每次至少應占該系統全部設備之 10%或 10 台以上（如：ATM、KIOSK 及分社櫃台端末設備

等）。增加抽測條件。

伍、資訊安全評估作業一、資訊安全評估作業項

目：

（三）網路設備、伺服器及端末設備等設備檢測

1.辦理網路設備、

伺服器及端末設備的弱點掃描與修補作業。

2.檢測伺服器及端末設備是否存在惡意程式，包括具惡意行為之可疑程式、有不明

伍、資訊安全評估作業一、資訊安全評估作業項

目：

（三）網路設備、伺服器及終端機等設備檢測

1.辦理網路設備、

伺服器及終端機的弱點掃描與修補作業。

2.檢測終端機及伺服器是否存在惡意程式，包括具惡意行為之可疑程式、有不明連

與前條文用詞一致。

(7)

7

連線之可疑後門程式、植入一個或多個重要系統程式之可疑函式庫、非必要之不明系統服務、具隱匿性之不明程式及駭客工具等。

3.檢測系統帳號登入密碼複雜度；

檢視外部連接密碼（如：檔案傳輸【 File Transfer

Protocol, FTP】

連線、資料庫連線等）之儲存保護機制與存取控制。

（四）Internet 伺服器進行下列檢測 1.滲透測試。

2.程式原始碼掃描或黑箱測試。

3.檢視網站目錄及網頁存取權限。

4.檢視系統是否有授權連線遭挾持，大量未驗證連線耗用資源、

資料庫死結

（deadlock）、

CPU 異常耗用、

不安全例外處理

線之可疑後門程式、植入一個或多個重要系統程式之可疑函式庫、非必要之不明系統服務、具隱匿性之不明程式及駭客工具等。

3.檢測系統帳號登入密碼複雜度；

檢視外部連接密碼（如：檔案傳輸【 File Transfer

Protocol, FTP】

連線、資料庫連線等）之儲存保護機制與存取控制。

（四）網站安全檢測 1.針對網站進行滲

透測試。

2.針對網站及提供給客戶端軟體進行弱點掃描、程式原始碼掃描或黑箱測試。

3.檢視網站目錄及網頁之存取權限。

4.檢視系統是否有授權連線遭挾持、大量未驗證連線耗用資源、

1.將<網站>改為

<Internet 伺服器>，

增列其他暴露在 Internet 上之設備須進行必要安全檢測。

2.將<客戶端軟體>移出為(五)一獨立項<

客戶端應用程式>，並增加相關評估要求。

3.弱點掃描已於伍、一

、（三）、1.說明。

(8)

8

及不安全資料庫查詢命令（包括無限制條件及無限制筆數）等情況。

（五）客戶端應用程式檢測

針對交付給客戶之應用程式進行下列檢測：

1. 提供 http 、 https、FTP 者應進行弱點掃描。

2.程式原始碼掃描或滲透測試。

3.敏感性資料保護檢測（如：記憶體、儲存媒體）。

4.金鑰保護檢測。

（六）安全設定檢視 1. 檢視伺服器

（如：網域服務 Active

Directory）有關

「密碼設定原則」與「帳號鎖定原則」設定。

2.檢視防火牆是否開啟具有安全性風險的通訊埠或非必要通訊埠，

資料庫死結

（deadlock）、

CPU 異常耗用、

不安全例外處理及不安全資料庫查詢命令（包括無限制條件及無限制筆數）等情況。

（五）安全設定檢視 1. 檢視伺服器

（如：網域服務 Active

Directory）有關

「密碼設定原則」與「帳號鎖定原則」設定。

2.檢視防火牆是否開啟具有安全性風險的通訊埠或非必要通訊埠，

4

.<客戶端應用程式>若有提供 http、https

、FTP 等服務者，可能因缺陷遭受外部攻擊

，應進行弱點掃描。

5.黑箱測試無法針對客戶端應用程式檢測

，改列滲透測試。

(9)

9

連線設定是否有安全性弱點。

3.檢視系統存取限制（如：存取控制清單 Access Control List ）及特權帳號管理。

4.檢視作業系統、

防毒軟體、辦公軟體及應用軟體等之更新設定及更新狀態。

（七）合規檢視 1.依實際業務辦理

情形，檢視整體電腦系統是否符合

「金融機構資訊系統安全基準」有關提升系統可靠性 <技 1 ~ 技 25>

2.檢視相關系統是否符合「金融機構辦理電子銀行業務安全控管作業基準」、「金融機構提供行動裝置應用程式注意事項」、

「金融機構提供自

連線設定是否有安全性弱點。

3.檢視系統存取限制（如：存取控制清單 Access Control List ）及特權帳號管理。

4.檢視作業系統、

防毒軟體、辦公軟體及應用軟體等之更新設定及更新狀態。

（六）合規檢視 1.依實際業務辦理

情形，檢視整體電腦系統是否符合

「金融機構資訊系統安全基準」有關提升系統可靠性 <技 1 ~ 技 25>

2.檢視電子銀行相關系統是否符合「金融機構辦理電子銀行業務安全控管作業基準」之規範。

增加合規檢視範圍。

(10)

10

動櫃員機系統安全作業規範」、「運用新興科技應注意事項」、主管機關及本聯社相關函文之要求。

捌、評估報告

「電腦系統資訊安全評估報告」內容應至少包含評估人員資格、評估範圍、評估作業項目與標的、評估紀錄、評估時所發現之缺失項目、缺失嚴重程度、缺失類別、風險說明、具體改善建議及社交演練結果，且應送稽核單位進行缺失改善事項之追蹤覆查。該報告應併同缺失改善等相關文件至少保存五年。

捌、評估報告

「電腦系統資訊安全評估報告」內容應至少包含評估人員資格、評估範圍、評估時所發現之缺失項目、缺失嚴重程度、缺失類別、風險說明、具體改善建議及社交演練結果，且應送稽核單位進行缺失改善事項之追蹤覆查。該報告應併同缺失改善等相關文件至少保存五年。

增加報告內容，以利掌握評估項目、標的與過程。

信用合作社辦理電腦系統資訊安全評估辦法

信用合作社辦理電腦系統資訊安全評估辦法

信用合作社辦理電腦系統資訊安全評估辦法 修正條文對照表

4

信用合作社辦理電腦系統資訊安全評估辦法修正條文對照表