(一)網路安全控管
- 本機關應定期檢視防火牆政策是否適當,並適時進行防火牆軟、硬體之必要更新或升級。若為向上集中管理,則由上級單位統一辦理更新與升級。
- 對於通過防火牆之來源端主機IP位址、目的端主機IP位址、來源通訊埠編號、目的地通訊埠編號、通訊協定、登入登出時間、存取時間以及採取的行動,均應予確實記錄。
- 對網路系統管理人員或資通安全主管人員的操作,均應建立詳細的紀錄。並應定期檢視網路安全相關設備設定規則與其日誌紀錄,並檢討執行情形。
- 使用者應依規定之方式存取網路服務,不得於辦公室內私裝電腦及網路通訊等相關設備。
- 無線網路防護
- 機密資料原則不得透過無線網路及設備存取、處理或傳送。
- 無線設備應具備安全防護機制以降低阻斷式攻擊風險,且無線網路之安全防護機制應包含外來威脅及預防內部潛在干擾。
- 行動通訊或紅外線傳輸等無線設備原則不得攜入涉及或處理機密資料之區域。
- 用以儲存或傳輸資料且具無線傳輸功能之個人電子設備與工作站,應安裝防毒軟體,並定期更新病毒碼。
(二)資通系統權限管理
- 本機關之資通系統應設置通行碼管理,通行碼之要求需滿足:
- 通行碼長度8碼以上。
- 通行碼複雜度應包含英文大寫小寫、特殊符號或數字三種以上。
- 使用者每90天應更換一次通行碼。
- 使用者使用資通系統前應經授權,並使用唯一之使用者ID,除有特殊營運或作業必要經核准並紀錄外,不得共用ID。
- 使用者無繼續使用資通系統時,應立即停用或移除使用者ID,資通系統管理者應定期清查使用者之權限。
(三)特權帳號之存取管理
- 資通系統之特權帳號請應經正式申請授權方能使用,特權帳號授權前應妥善審查其必要性,其授權及審查記錄應留存。
- 資通系統之特權帳號不得共用。
- 對於特權帳號,宜指派與該使用者日常公務使用之不同使用者ID。
- 資通系統之特權帳號應妥善管理,並應留存特殊權限帳號之使用軌跡。
- 資通系統之管理者每季應清查系統特權帳號並劃定特權帳號逾期之處理方式。
(四)加密管理
- 本機關之機密資訊於儲存或傳輸時應進行加密。
- 本機關之加密保護措施應遵守下列規定:
- 應避免留存解密資訊。
- 一旦加密資訊具遭破解跡象,應立即更改之。
其它相關事項本機關未訂者得參考引用ISMS-02-11 存取控制管理規範」與「ISMS-03-11 帳號註冊註銷作業程序書」要求辦理。