捌、資通安全風險評估
一、 資通安全風險評估
1. 本機關應每年針對資訊及資通設備資產進行風險評估。
2. 執行風險評估時應依據南投縣政府資訊安全維護計畫第捌點執行相關作業。
3. 本機關應每年依據資通安全責任等級分級辦法之規定,分別就機密性、完整性、可用性、法律遵循性等構面評估。
玖、資通安全防護及控制措施
本機關依據前章資通安全風險評估結果、自身資通安全責任等級之應辦事項,採行相關之防護及控制措施,全機關之防護及控制措施詳如本機關資通安全維護計畫。
本機關依據前章資通安全風險評估結果、自身資通安全責任等級之應辦事項,採行相關之防護及控制措施如下:
一、 資訊及資通系統之管理
(一) 資訊及資通系統之使用
1. 本機關同仁使用資訊及資通系統須遵守系統管理機關相關規範。
2. 本機關同仁使用資訊及資通系統時,應留意其資通安全要求事項,並負對應之責任。
3. 本機關同仁使用資訊及資通系統後,應依規定之程序歸還。資訊類資訊之歸還應確保相關資訊已正確移轉,並安全地自原設備上抺除。
4. 非本機關同仁使用本機關之資訊及資通系統,應確實遵守本機關之相關資通安全要求,且未經授權不得任意複製資訊。
5. 對於資訊及資通系統,宜識別並以文件記錄及實作可被接受使用之規則。
二、 存取控制與加密機制管理
(一) 網路安全控管
1. 本機關之網路區域劃分如下:
(1) 外部網路:對外網路區域,連接外部廣網路(Wide Area Network, WAN)。
(2) 非軍事區(DMZ):放置機關對外服務伺服器之區段。
(3) 內部區域網路 (Local Area Network, LAN) :機關內部單位人員及內部伺服器使用之網路區段。
2. 外部網路、非軍事區及內部區域網路間連線需經防火牆進行存取控制,非允許的服務與來源不能進入其他區域。
3. 應定期檢視防火牆政策是否適當,並適時進行防火牆軟、硬體之必要更新或升級。
4. 對於通過防火牆之來源端主機IP位址、目的端主機IP位址、來源通訊埠編號、目的地通訊埠編號、通訊協定、登入登出時間、存取時間以及採取的行動,均應予確實記錄。
5. 本機關內部網路之區域應做合理之區隔,使用者應經授權後在授權之範圍內存取網路資源。
6. 對網路系統管理人員或資通安全主管人員的操作,均應建立詳細的紀錄。並應定期檢視網路安全相關設備設定規則與其日誌紀錄,並檢討執行情形。
7. 使用者應依規定之方式存取網路服務,不得於辦公室內私裝電腦及網路通訊等相關設備。
8. 網域名稱系統(DNS)防護
(1) 一般伺服器應關閉DNS服務,防火牆政策亦應針對DNS進行控管,關閉不需要的DNS服務存取。
(2) DNS伺服器應經常性進行弱點漏洞管理與修補、落實存取管控機制。
(3) DNS伺服器應設定指向GSN Cache DNS。
(4) 內部主機位置查詢應指向機關內部DNS伺服器。
9. 無線網路防護
(1) 機密資料原則不得透過無線網路及設備存取、處理或傳送。
(2) 無線設備應具備安全防護機制以降低阻斷式攻擊風險,且無線網路之安全防護機制應包含外來威脅及預防內部潛在干擾。
(3) 行動通訊或紅外線傳輸等無線設備原則不得攜入涉及或處理機密資料之區域。
(4) 用以儲存或傳輸資料且具無線傳輸功能之個人電子設備與工作站,應安裝防毒軟體,並定期更新病毒碼。
(二) 資通系統權限管理
1. 本機關之資通系統應設置通行碼管理,通行碼之要求需滿足:
(1) 通行碼長度8碼以上。
(2) 通行碼複雜度應包含英文大寫小寫、特殊符號或數字三種以上。
(3) 使用者每90天應更換一次通行碼。
2. 使用者使用資通系統前應經授權,並使用唯一之使用者ID,除有特殊營運或作業必要經核准並紀錄外,不得共用ID。
3. 使用者無繼續使用資通系統時,應立即停用或移除使用者ID,資通系統管理者應定期清查使用者之權限。
(三) 特權帳號之存取管理
1. 資通設備之特權帳號請應經正式申請授權方能使用,特權帳號授權前應妥善審查其必要性,其授權及審查記錄應留存。
2. 資通設備之特權帳號不得共用。
3. 對於特權帳號,宜指派與該使用者日常公務使用之不同使用者ID。
4. 資通設備之特權帳號應妥善管理,並應留存特殊權限帳號之使用軌跡。
5. 資通設備之管理者每季應清查系統特權帳號並劃定特權帳號逾期之處理方式。
(四) 加密管理
1. 本機關之機密資訊於儲存或傳輸時應進行加密。
2. 本機關之加密保護措施應遵守下列規定:
(1) 應落實使用者更新加密裝置並備份金鑰。
(2) 應避免留存解密資訊。
(3) 一旦加密資訊具遭破解跡象,應立即更改之。
三、 作業與通訊安全管理
(一) 防範惡意軟體之控制措施
1. 本機關之主機及個人電腦應安裝防毒軟體,並時進行軟、硬體之必要更新或升級。
(1) 經任何形式之儲存媒體所取得之檔案,於使用前應先掃描有無惡意軟體。
(2) 電子郵件附件及下載檔案於使用前,宜於他處先掃描有無惡意軟體。
(3) 確實執行網頁惡意軟體掃描。
2. 使用者未經同意不得私自安裝應用軟體,管理者並應每半年定期針對管理之設備進行軟體清查。
3. 使用者不得私自使用已知或有嫌疑惡意之網站。
4. 設備管理者應定期進行作業系統及軟體更新,以避免惡意軟體利用系統或軟體漏洞進行攻擊。
(二) 遠距工作之安全措施
1. 本機關資通系統之操作及維護以現場操作為原則,避免使用遠距工作,如有緊急需求時,應申請並經內部程序核可同意後始可開通。
2. 資通安全推動小組應定期審查已授權之遠距工作需求是否適當。
3. 針對遠距工作之連線應採適當之防護措施(並包含伺服器端之集中過濾機制檢查使用者之授權),並且記錄其登入情形。
(1) 提供適當通訊設備,並指定遠端存取之方式。
(2) 提供虛擬桌面存取,以防止於私有設備上處理及儲存資訊。
(3) 進行遠距工作時之安全監視。
(4) 遠距工作終止時之存取權限撤銷,並應返還相關設備。
(三) 電子郵件安全管理
1. 本機關人員到職後應經申請方可使用電子郵件帳號,並應於人員離職後刪除電子郵件帳號之使用。
2. 電子郵件系統管理人應定期進行電子郵件帳號清查。
3. 電子郵件伺服器應設置防毒及過濾機制,並適時進行軟硬體之必要更新。
4. 使用者使用電子郵件時應提高警覺,並使用純文字模式瀏覽,避免讀取來歷不明之郵件或含有巨集檔案之郵件。
5. 原則不得電子郵件傳送機密性或敏感性之資料,如有業務需求者應依相關規定進行加密或其他之防護措施。
6. 使用者不得利用機關所提供電子郵件服務從事侵害他人權益或違法之行為。
7. 使用者應確保電子郵件傳送時之傳遞正確性。
8. 使用者使用電子郵件時,應注意電子簽章之要求事項。
9. 本機關應定期舉辦(或配合上級機關舉辦)電子郵件社交工程演練,並檢討執行情形。