[訊息轉發]【資安訊息】請各單位全面盤點含有個人資料之系統,並遵守資通系統防護基準規範。
為防範各單位於系統開發與維護過程產生疏漏,導致個資外洩之資安事件發生,籲請各校積極落實系統開發之維護管理作業,並應遵守安全軟體開發生命週期(SSDLC)與符合資通系統防護基準規範。
情資分享等級: WHITE(情資內容為可公開揭露之資訊)
[影響平台:]
N/A
[建議措施:]
(一) 應全面性盤點含有個人資料之系統,檢視儲存個人資料之適法性與必要性,並納入資訊安全管理制度(ISMS)。
(二) 應落實核心系統資產盤點、帳號清查及定期進行備份作業,如有變更需即時更新ISMS相關文件。
(三) 在進行系統開發與維護時須遵守「資通安全責任等級分級辦法」之「附表十資通系統防護基準」規範,提供適當之資安防護措施。
(四) 在系統發展生命週期之「開發階段」應執行「源碼掃描」安全檢測。針對安全需求實作必要控制措施。應注意避免軟體常見漏洞及實作必要控制措施。發生錯誤時,使用者頁面僅顯示簡短錯誤訊息及代碼,不包含詳細之錯誤訊息。
(五) 在系統發展生命週期之「測試階段」應執行「弱點掃描」與「滲透測試」安全檢測,並於系統上線前完成弱點修補。在確認無中、高風險弱點後方可上線。
(六) 在系統發展生命週期之「部署與維運階段」應執行版本控制與變更管理。於部署環境中應針對相關資通安全威脅,進行更新與修補,並關閉不必要服務及埠口。所開發資通系統不使用預設密碼。
(七) 在維護系統時如需更新系統版本,應確認所更新程式是否為正確上架版本,避免因上架錯誤版本造成機敏資料外洩風險。建議採用雙人複核機制,確認版本無誤後再進行上架作業。
(八) 在系統發展生命週期之「委外階段」若資通系統開發如委外辦理,應將系統發展生命週期各階段依等級將安全需求(含機密性、可用性、完整性)納入委外契約。
(九) 各單位之資通系統應每年度進行滲透測試,檢測項目應包含系統弱點分析、網站弱點分析、OWASP Top 10 檢測、人工邏輯檢測等作業,並且應強化人工邏輯檢測作業項目。滲透測試需經初、複掃雙重驗證方式來確認弱點修補品質,並透過專家指導快速排除已知之風險與問題。
[參考資料:]
1.「資通安全責任等級分級辦法」之附表十資通系統防護基準.pdf https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304
(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw