原文發布於:資安健檢與健診了嗎?品科技資安雙ISO認證,網站委外更安心!
2022年8月甫發生公家機關、超商等系統看板被入侵植字恫嚇,10月底台灣更發生2,300萬筆個資外洩遭販賣情形,當重大個資外洩事件發生時,企業主難免擔心自己公司的系統或網站是否能有更安心的資訊通訊安全保護,免於駭客入侵時企業成為砧板上的魚肉。
此時「資通安全健檢」即可協助企業組織檢視是否已建立健全的資安基礎環境,並逐一了解是否有需補足,增強資安防禦韌性,而品科技也主動取得資訊安全管理ISO/IEC 27001、ISO/IEC 27701國際標準雙認證,為業主在網站系統建置時第一步把關,降低資通安全風險!資通安全是什麼?如何進行資通安全健檢?
資通安全管理法中提到,資通安全旨在防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
而依資通安全分級A級健檢頻率應需一年一次,B、C級則應需兩年進行一次,一般來說資通安全健檢有5個安全項目,從網路面、終端使用者面、系統面等來協助資安檢視:
1. 網路架構檢視
原有網路架構設計若留有縫隙,防火牆設置未完善,則有可能留有資安漏洞,注意是否有將網路分區、公私有的IP合理配置,以及彼此間的連線有沒有存取限制等。
2. 網路惡意活動檢視
平日監看網路各個分區間的封包以及分析網路設備的LOG是否有異常。
3. 使用者端電腦惡意活動檢視
留意檢測電腦包含程式、網路連線、帳號等的異常狀況,還需看作業系統、應用程式有無安裝更新,若使用者端電腦被植入木馬,在未經授意的情況下,可能會執行某些異常操作,或成為跳板。
4. 伺服器主機惡意活動檢視
當駭客對伺服器主機進行惡意活動時,例如對Web Server發起SQL Injection或XSS等攻擊,在伺服器LOG皆會留下足跡與鮮明紀錄,定時或經常性檢視是否有異常LOG紀錄,避免伺服器出現破口。
5. 目錄伺服器設定與防火牆連線設定檢視
檢視應用程式是否遵循政府組態基準(Government Configuration Baseline, 簡稱GCB),GCB規範了個人電腦及伺服器的安全設定,此外目錄伺服器的權限設定也必須劃分清楚,避免因設定錯誤,而導致機密資料暴露於風險中。
資安即國安?資安培育能量-教育機構資安驗證中心
Check Point Software的 《2022 年網絡安全報告》 中顯示,2021年每週各產業被資安攻擊次數,以教育與研究機構為重災區,每週平均1605次,被攻擊比例較2020年暴增75%,政府機構和軍事機構則位居第二,增幅也來到47%,以台灣公家機關來說,每個月平均被境外攻擊次數達3000萬次,網路猛烈攻擊的槍林彈雨中,你公司或組織的資訊安全防護是否夠力?
因此建立資訊安全管理系統(Information Security Management System, ISMS)相當重要,不論是在架構實施維護與持續改善上,幫助組織保管的資訊資產能更安全。
中興大學長年於資安的培訓領域深度耕耘,在資安教育推廣上不遺餘力,於2005起承接「教育機構資安驗證中心」,進行相關資安管理與驗證政策規劃,協助資通安全的實地資安稽核,確保教育體系各單位、學校落實資訊安全管理系統的有效性,檢視機關內的資安管理是否已符合要求。
資通安全管理有哪些優先注意的事項?
中興大學依據教育部指引,將「ISMS優先落實執行策略」整理為易讀的網站內容,可成為重要資安教育之教材,提出策略面、管理面與技術面之注意事項,一般民間機構也可依據相關內容,回觀自己的組織或公司,是否能在資安的體制與細節上做配合與安全防禦,不論是資通安全長設置或是資安組織推動,相關系統與資訊財產盤點、資通安全稽核等,都是可參酌的部分。
中興大學-「教育機構資安驗證中心」ISMS優先落實執行策略網站:
https://sites.google.com/email.nchu.edu.tw/isms-strategy/首頁?authuser=0
(亦為本篇資通安全管理圖文內容之重要來源)
1. 資通安全長之配置
資通安全長為資通安全的核心領導人物,在資通安全政策與核心業務、專責人力與經費配置上,都有重要的推動與監督的力量,資通安全長須完全掌握「資通安全實地稽核項目檢核表」策略面的三大構面,共26項目的實施情形。
實地稽核以「資通安全實地稽核項目檢核表」及「資通系統防護基準實施情形調查」為查檢項目,與行政院資通安全稽核所使用的版本相同,檢核表涵蓋了策略面、管理面及技術面,以公務機關來說,共9大構面115項檢核項目,防護基準包含78項控制措施。
「資通安全實地稽核項目檢核表」及「資通系統防護基準實施情形調查」可建立副本至自己的google雲端硬碟,機關同樣也可依據這些項目,檢視內外部資安管理作為是否有符合要求。
https://docs.google.com/spreadsheets/u/1/d/1UpkcL28QPH-_GwxbzFIsSYnEKZH9EhAjJjOSZMEQx10/copy
2. 資通安全推動組織
除了資通安全長,亦須將各單位主管納入資通安全推動組織中,單位主管除了參與資安會議討論,並積極資安推動,督導單位人員在資安文件保存或銷毀上多加留意,平時落實資安行為、教育訓練的規劃、採購規範的遵守、配合稽核事項等等五大資安工作重點,並提供相關實際作為,於審查時有相關佐證資料可供查閱。
3. 資通系統及資訊之盤點
對全校(或組織內)資通系統進行盤點及風險評估之後,更重要的是系統管理人員、系統委外承辦人員、系統開發人員等三類人員皆必須充分認知與自身職責相關的稽核重點,進而落實相關資安細部工作,包含是否遵從相關資通安全法、委外管理、資通防護基準、安全系統發展生命週期(SSDLC)等等規定,為資通系統安全做重要把關。
建置網站時,想知道自己網站有沒有依循安全系統發展生命週期(SSDLC),可見:魔鬼藏在低價裡 | 網站委外建置,資安必備了嗎?
4. 內部資通安全稽核
近年來多數資安事件發生於一般人員對於資訊安全知識認知不足、使用雲端服務收集個人資料卻未做好管控,或是公務個人電腦安裝非公務用軟體等等問題,內部稽核除了分年分階段規劃辦理,在此之前更是要讓全校(全組織)人員皆開始重視資安管理,包含像是新進人員資安宣導、資安通識教育訓練等,從日常宣導資安觀念,避免資安事件發生。
興大也提供相關稽核的線上文件,可點選加入Google表單,若想了解相關細則項目,可前往以下頁面:https://sites.google.com/email.nchu.edu.tw/isms-strategy/內部稽核
資安是全體的責任 不同角色也有重要的執行重點
教育機構資安驗證中心也製作相關海報,根據各不同身份列出所需注意的簡明要點,不論是單位主管、系統開發者、系統管理員、委外承辦者與一般人員等,各角色資通管理之優先執行策略以圖解方式清楚明瞭呈現。
以委外承辦人來說,組織內部人員須優先接受過資安專業教育,了解委外相關安全程序與風險評估,設備上禁用大陸廠牌,在分(轉)包資安、人員媒體等共9步層層注意,並盡力落實相關執行策略。
當然,也可看影片講解,更快了解整體資通安全管理的相關注意事項:
https://youtu.be/Hu7uYY8c520
資訊安全管理國際標準-ISO/IEC 27001
透過資安健檢找出組織內外部資通安全的潛在威脅,資安健檢之外,仍需「弱點掃瞄服務」等特殊檢查來界定特定問題、「滲透測試服務」方式了解資訊環境的抵抗能力,提早消弭資安弱點,讓資訊資料的保管更加放心。
而在資訊安全管理系統(ISMS)上,業界最知名、最完整的ISO認證標準即為由國際標準化組織(ISO)及國際電工委員會(IEC)共同聯合發布的ISO/IEC 27000系列標準,全球已有超過9萬組織單位採用,而品科技於2021年已取得ISO/IEC 27001認證,不論是資安攻擊的預防、持續改善,以及相關資安法規與標準都具有高度應變水準,協助企業組織系統性檢驗與評估危害影響,以利降低內外部的資訊風險,提升組織的資訊安全防護能力。
提升個資與隱私保護管理-ISO/IEC 27701
面對現在資料電子化、雲端化、虛擬化、科技技術日新月異,資安攻擊手法層出不窮,企業最怕商業機密被駭偷出,威脅到經營維運之命脈,尤以擁有會員經營的各企業或機關,最害怕會員機密個資的保存問題。
加以全球隱私保護意識日漸抬頭,個資法與歐盟一般資料保護規範(GDPR)法規頒布後,不論是政府、企業與非營利組織在個人資料蒐集、處理,以及個人資料的利用、管理與保護,都須更有系統性的管理制度。
而ISO/IEC 27701個人資料隱私資訊管理系統 ( Privacy Information Management System, PIMS)則為全球首個整合資訊安全與隱私保護的管理系統,將資訊安全管理與個資管理同時結合,藉由識別個人資料流向,並有效管理包含蒐集、處理、利用等個資流程,遵循個資法與GDPR之要求,讓個資保護風險管理步步防守,步步紮營。
終究繞不過資安,何不一開始就備上?
不論是資通安全、個資隱私保護,品科技同仁陸續取得「ISO/IEC 27001:2013資訊安全管理系統主導稽核員」、「ISO/IEC 27701: 2019 個資管理系統主導稽核員」等證照資安雙肯定,由品科技製作的網站或系統,皆由稽核員角度,全面檢視資通安全與個資隱私等資訊安全管控,落實相關資訊安全管理措施,能為客戶網站與系統的資安落實把關。
品科技近年為公家機關、企業單位,規劃擁有賞心悅目的視覺設計,兼具資訊安全的多個網站與系統,深獲極佳好評,本次新導入「ISO/IEC 27701: 2019」國際標準認證,更在處理會員隱私等敏感性機密資料,讓會員隱私安全有更安全的標準,強化機密資料的保護能力。
品科技製作之網站與系統,除了能協助提交 SSDLC 安全軟體發展生命週期檢核報告外,所建置的網站均通過Rapid7 Nexpose及Acunetix Web Vulnerability Scanner兩套知名弱點掃描軟體的嚴格測試,協助企業單位迎戰最新資安挑戰,增加您網站或系統的資安韌性。
資安,讓品科技將幫忙把關,產官學網站服務、系統開發的信賴領導品牌,您全方位的資訊顧問!
如果您還在煩惱不知道該如何尋找APP開發廠商,不妨來電洽詢品科技 (04) 2277–0046
品科技,您最好的選擇 — 中部最專業的網頁與APP團隊,不僅有開發能力更懂得結合設計美感,多年產學合作與企業推廣經驗,讓你的產品馬上被看見 https://www.pintech.com.tw/
Originally published at https://www.pintech.com.tw.
