105 年政府機關(構)實通安全稽核作業共同發現事項及建議
105 年稽核結果共同發現事項及建議分成策咯面丶管理面及技術面等項,分別說明如下:
一丶策略面
(一)推動維織
l 、說明:資安推動維織成員大多為資訊單位,業務部門較少參與致使相關資安政策要求與控制措施未能落實推行。
2 、建議:各機閼(搆)之資安推動維織,宜整體考量資安業務之推動,由各業務單位主管維成,訂定適當之資安管理指標,制定有效量測方式,透過定期召開推動會議,追蹤與檢討相闕控制措施之適切性及有效性。
(二)人力資源
l 、說明:機關(構)資訊(安)人員人力不足或遇缺不補,造成人力不足,對一般人員資安風險亦缺乏有效管理。
2 、建議:宜妥適編列資訊(安)人力,或妍議將業務向上集中管理,以因應人員不足現象;並依照同仁業務屬性提供適蕾之教育訓練,或取得相闕專業證照。
(三)資訊系統分級
l 、說明:資訊系統分級未堢實進行影零構面評估,部分資訊系統之重要性被低估。
2 、建議:各機關(構)宜詳實識別資訊系統之業務屬性與安全等級,重新評估其相關影零構面,並針對安全等級為高之資訊系統,進行風險管理。
(四)營運持續管理
l 、說明:對營運持續計畫演練規劃情境過於簡化,且未喵實進行營運衝擊分析評估。
2 、建議:各機關(構)宜增強營運持續計畫演練之效度,除測試系統運作層面外,建議更深入瞭解備份資料回復後之完整性與可用性。
二丶管理面
(一)個資盤點
l 、說明:對於個人資料盤點內容尚缺周延, 如蒐集、處理及利用個人資料之法令依據、個資檔案保存年限及生命週期等。
2 、建議:應以作業流程面向進行個人資料盤點,詳鈿識別個資襠案之法令依據、保存年限及生命週期。
(二)風險管理
l 、說明:部分機關(構)風險評鑑與風險處理作業未落實完成。
2 、建議:各機關(構)之風險評鑑與風險處理作業,應依規劃時程執行, 並適時加以檢討,箔發生業務或設備異動時,亦應落實進行風險評鑑。
(三)委外廠商管理
l 、說明:未有效管理委外廠商之資安服務作業,對其人員之日常作業與存取権限未妥善管控。
2 、建議:各機關(構)宜對委外廠商詳訂作業程序與規範,限縮其遠端存取能力,並強化機關監督管理權責,加強自身管理之能力。
(四)委外廠商資安能力
l 、說明:部分機關雖於委外合約訂定資安稽核要求,惟較少落實進行資安稽核,且缺乏對委外廠商資安要求的有效性管理。
2 、建議:機關(構)宜規劃與落實對委外廠甯進行資安稽核,建議委外契約本文增加對共通之資訊安全條款及個資保護條款要求之引用,並要求委外廠商銷毀因執行委外專案,所擁有之機敏資料。
三、技術面
(一)資安檢測
l 、弱點掃描
(1) 說明:未針對弱點掃描結果,進行適當修補作業。
(2) 建議:針對弱點掃描所發現之漏洞,宜建立修補管控機制,並考量將數量多之低風險亦進行修補,以確實降低弱點存在之風險。
2 、資安檢測及管控措施
(1) 說明:使用者電腦未能落實權限管控或定期執行清查作業等資安檢測與管控挂施。
(2) 建議:各機闕應規劃電腦設備管控作業,並落實定期清查與農核;另,針對使用者電腦進行深度資安檢測,以機關首長、核心業務負貴人為核心向外廷伸檢測範圍,並規劃定期追蹤管理機制。
(二)存取控制
1 、說明:網路服務安全控制措施之適切性及落實度較不足,且應於網路或系統存取,啟用相關日誌設定,或建立相關保護機制。
2 、建議:應強化網路服務之安全設定,檢討外部遠端連線內部系統之必要性,與內部網路資源存取權限之管控,可訂定控制措施査檢週期,並落實堢認網路區段配置、防火牆防護設定及存取管控等項目;另,對於軌跡紀錄的保存、管理與分析,宜考量款位鑑識需求,依系統容量及日誌之屬性,規劃適度日誌管理方式。
(三)行動裝置管理
l 、說明:對於行動裝置較缺乏有效管理方式
2 、建議:如因業務需要開放使用行動裝置,建議應在需求面及安全性同時兼顧下啟用,妥善管理行動裝置存取權限,以嚀保資訊安全。
沒有留言:
張貼留言
注意:只有此網誌的成員可以留言。