政府專案資安注意事項
專案眉角多,一不小心就容易踩雷
政府專案更是如此,其中資訊系統安全等級分為普、中、高三級,由機關依機密性、完整性、可用性及法律遵循性四大影響構面,分別考量資訊系統於發生資安事件時可能造成之衝擊,並有 "行政院及所屬各機關資訊安全管理規範" 針對各種府單位規範資安要求。
不過這邊不嚼文字,不說文言文,把政府專案會遇到的資安要求大致說明,分享給大家。
目前依情境分為兩類新系統的建置與維護時的例行性要求。
1.新建置系統必要求:
I.帳號管理(包含帳號多久未使用需自動停用)
II.密碼安全要求(包含密碼變更時效、不可重複使用...等)
III.最小權限設計
IV.原始碼需經過第三方源碼掃描,且無Medium以上之弱點(要求一點的單位還會看Low數量)
V.系統需經過弱點掃描
VI.DB使用權限最小(data read、data write)
VII.帳密及各資是否使用加密方式保存
VIII.相關人員需簽署保密切結書
IX.防火牆控管
X.Web系統的SSL要求
2.例行性要求:
I.更版前需做弱掃或源碼掃描(視機關)
II.交付資料需壓縮加密、並掃毒
III.配合政府機關內部弱掃修正(一年兩次)
IV.配合政府機關內部主機掃描修正(一年兩次)
V.配合政府機關內部源碼掃描修正(視專案要求或一年一次)
VI.配合內、外稽進行帳號清查、權限清查、伺服器清理
VII.定時監控系統,確認伺服器狀態(含CPU、記憶體、硬碟使用量)
VIII.系統異常於8工作時間內回覆處理(視SLA)
以上為政府機關專案會遇到的需求,但若能符合以上需求,基本上亦可滿足大部分的專案客戶
當然上面僅是條列需求並非作法,供大家進行專案時有個備忘錄,若詳述做法,大概可以寫個好幾篇。
如我有想到其他需補充,會持續更新