法規內容:
一、目的
經濟部(以下簡稱本部)為強化計畫網站之資通安全管理,建立安全
與可信賴之資訊系統,提升計畫網站之資料及系統安全,特訂定本要
點。
二、範圍
(一)本要點適用對象為本部幕僚單位、所屬行政機關及事業機構之計畫
網站。
(二)本要點所稱計畫網站,指各單位因應業務或委辦計畫需求所建置或
維護,且未納入機關(構)統籌資通安全防護之網站。
三、計畫網站資通安全管理要求
(一)資訊業務承辦單位(以下簡稱資訊單位)應依行政院相關規定與本
要點要求,規劃及擬定符合機關(構)需要之計畫網站資通安全管
理計畫,陳報資訊安全長核定,並督導計畫網站資通安全管理作業
之實施。
(二)計畫網站資通安全管理計畫應涵蓋以下作業要項:
1.計畫網站之系統分級與評估準則、方法及步驟。
2.計畫網站資通安全管理責任。
3.計畫網站建置及維運廠商之責任。
4.計畫網站之軟體安全需求。
5.計畫網站實體與系統環境資通安全保護措施。
6.計畫網站管理方法及程序。
7.計畫網站資通安全稽核頻率、方法及準則。
四、計畫網站資通安全管理施行
(一)建置或維護計畫網站之承辦業務單位(以下簡稱業務單位)應負責
計畫網站資通安全管理工作事項。
(二)業務單位應定期(至少一年一次)執行計畫網站盤點與分級評估,
製作計畫網站盤點及分級評估報告。
(三)業務單位應依計畫網站盤點及分級評估結果,採行必要之控制措施
,以確保網站之安全防護水準。
(四)業務單位應於委託時,提出計畫網站資通安全管理需求,課以受委
託廠商資通安全責任。廠商責任涵蓋廠商參與計畫網站開發或維護
相關作業之員工、雇員、分包商及臨時人員。
(五)計畫網站至少應包括跨網站腳本攻擊(XSS) 及資料庫注入式攻擊
(SQL-injection) 等,開放網路軟體安全計畫(OWASP) 所列十
大常見網站攻擊模式之測試及防護措施。
(六)業務單位應確保計畫網站上線前執行網站弱點掃描,並完成弱點修
補。運行中之計畫網站,應依政府機關(構)資通安全責任等級分
級作業規定,定期執行網站弱點掃描,並完成弱點修補。
(七)計畫網站應設置於具有保護措施之環境,保護措施應至少包括防火
牆及防毒機制。
(八)計畫網站應建置於機關(構)專用之主機和資料庫,不得與他機關
或機構共用。
(九)計畫網站之建置,應以政府共同供應契約提供之雲端服務為原則。
(十)計畫網站系統主機應設定防毒機制,並適時修補系統安全弱點。
(十一)計畫網站之正式運行環境,不得同時作為測試及開發環境使用。
(十二)計畫網站運行期間,業務單位應保存網站建置、維護及更新紀錄
。
(十三)存放機敏性資料之計畫網站應啟用系統存取稽核軌跡記錄功能,
且設有存取監控、系統可用性監控及異常警示通報機制。
五、計畫網站資通安全管理評估
(一)業務單位應定期(至少半年一次)與受委託廠商召開計畫網站建置
、維護或更新作業之資通安全管理會議,並就會議結論採取適切之
改善措施。
(二)業務單位應依據計畫網站盤點及分級評估結果,執行計畫網站稽核
,每年稽核數量,不得低於計畫網站盤點總數百分之三十,機關(
構)每三年應對所屬所有計畫網站完成稽核作業。
(三)存放機敏性資料之計畫網站,應每年對計畫網站資通安全管理作業
實施至少一次資通安全稽核,且宜委由第三方獨立稽核機構為之。
六、計畫網站資通安全管理改善
(一)資訊單位應定期(至少一年一次)彙整業務單位提供之計畫網站資
通安全管理計畫實施報告,陳報機關(構)資訊安全長核定後,於
每年三月底前函報本部備查。
(二)計畫網站資通安全管理計畫實施報告,至少應包含:
1.計畫網站資通安全管理要求實施結果。
2.計畫網站資通安全管理年度稽核結果。
3.資通安全控制措施改善方案。
4.計畫網站資通安全管理計畫之最新修訂版本。
(三)業務單位應採取改善措施,避免不符合事項再次發生。
(四)資訊單位應每年定期追蹤改善方案實施成效,於次年計畫網站資通
安全管理計畫實施報告中提出報告,並陳報機關(構)資訊安全長
。
(五)資訊單位應定期(至少一年一次)評估計畫網站資通安全管理計畫
之適切性,為必要之修訂,並陳報機關(構)資訊安全長核定。