專案 政府 資安

政府專案資安注意事項

周成駿 Changing Chou 2021/12/29 11:18:58
388

專案眉角多,一不小心就容易踩雷

政府專案更是如此,其中資訊系統安全等級分為普、中、高三級,由機關依機密性、完整性、可用性及法律遵循性四大影響構面,分別考量資訊系統於發生資安事件時可能造成之衝擊,並有 "行政院及所屬各機關資訊安全管理規範" 針對各種府單位規範資安要求。

不過這邊不嚼文字,不說文言文,把政府專案會遇到的資安要求大致說明,分享給大家。

目前依情境分為兩類新系統的建置與維護時的例行性要求。

1.新建置系統必要求:

I.帳號管理(包含帳號多久未使用需自動停用)

II.密碼安全要求(包含密碼變更時效、不可重複使用...等)

III.最小權限設計

IV.原始碼需經過第三方源碼掃描,且無Medium以上之弱點(要求一點的單位還會看Low數量)

V.系統需經過弱點掃描

VI.DB使用權限最小(data read、data write)

VII.帳密及各資是否使用加密方式保存

VIII.相關人員需簽署保密切結書

IX.防火牆控管

X.Web系統的SSL要求 

2.例行性要求:

I.更版前需做弱掃或源碼掃描(視機關)

II.交付資料需壓縮加密、並掃毒

III.配合政府機關內部弱掃修正(一年兩次)

IV.配合政府機關內部主機掃描修正(一年兩次)

V.配合政府機關內部源碼掃描修正(視專案要求或一年一次)

VI.配合內、外稽進行帳號清查、權限清查、伺服器清理

VII.定時監控系統,確認伺服器狀態(含CPU、記憶體、硬碟使用量)

VIII.系統異常於8工作時間內回覆處理(視SLA)

 

 

以上為政府機關專案會遇到的需求,但若能符合以上需求,基本上亦可滿足大部分的專案客戶

當然上面僅是條列需求並非作法,供大家進行專案時有個備忘錄,若詳述做法,大概可以寫個好幾篇。

如我有想到其他需補充,會持續更新

周成駿 Changing Chou