類別:資訊保護【案號:S11006】上士入侵軍用電腦竊取少校前夫兵資 從重判刑
【焦點話題】
陳姓少校發現其於部隊遭懲處之資料被邱姓男子公布於網路,軍方查知,陳姓少校前妻郭姓上士與陳男有婚姻紛爭,郭女利用陳男帳號密碼入侵軍用公務電腦,取得陳男受懲處之相關資料,交由邱男公布,檢方偵辦後,認為郭女有無故取得公務機關電腦電磁紀錄及洩漏國防以外應秘密消息犯意,依法起訴。地院則認為郭女行為恐造成軍方人員身分保密破口,對軍隊內部管理及國防秘密保護影響重大,從重以公務員利用職務上機會,無故取得公務機關電腦電磁紀錄罪論處。
【參考資料來源:自由時報,109/12/27】
【重點摘要】
-
公務員因職務之便利,侵入電腦並洩漏或交付關於中華民國國防以外應秘密之文書、圖畫、消息或物品者,可能違反包括刑法洩漏國防以外之秘密罪,以及公務員利用職務上機會,無故取得公務機關電腦電磁紀錄罪等罪名,並應從重依無故取得公務機關電腦電磁紀錄罪論斷。
-
資料儲存於資通系統內,於判斷資通系統所需之控制措施時,可依資通安全責任等級分級辦法附表九之資通系統防護需求分級原則,以機密性、完整性、可用性與法規遵循性作為判斷標準,區分其防護需求等級,再參考附表十之資通系統防護基準判斷所需進行之控制措施。
【法律觀點】
公務人員若利用職務之便利,未經授權進入公務機關電腦,取得電磁紀錄,或有洩漏、交付國防以外應秘密之文書、圖畫、消息或物品之情形者,可能違反刑法第358條[1]、第359條[2]、第132條[3]等罪名,以處罰最重之第359條來說,最高可處5年以下有期徒刑,亦可併科60萬以下罰金;如一行為同時觸犯上述數罪名而從重處斷時,即應論以第359條之罪。
本案中,郭女利用其身分職務之便,利用陳男之帳號密碼無故入侵公務電腦後並取得其資料,即屬刑法第358條規定之「無故輸入他人帳號密碼…而入侵他人之電腦或其相關設備者」;其入侵後並洩漏陳男電子資料予他人,致生損害於陳男及公務機關對於資訊管控之機密安全性,則可能進一步構成刑法第132條之「公務員洩漏或交付關於中華民國國防以外應秘密之文書」,及第359條規定之「無故取得…他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人」之情形。
【管理Tips】
公務人員或一般民眾因職務之便所導致之資料洩漏事件時有所聞,資通安全責任等級分級辦法對於系統之防護規定則可參考作為管理控制之手段。除資安法之納管對象以及具備自行或委外開發資通系統者外,組織亦可參照該辦法附表九之資通系統防護需求分級原則,以機密性、完整性、可用性與法規遵循性之防護需求等級作為判斷標準,區分系統防護需求等級,再依附表十之資通系統防護基準判斷所需進行之控制措施,藉以開列系統開發或採購時之需求。以身分驗證一項來說,採用多重認證技術,即可更有效降低假借他人密碼即可登入系統之情形。
【相關標準】
ISO 27001:2013(CNS 27001)
-
A.8.2.1 資訊之分級
-
標準內容:
|
資訊應依法律要求、價值、重要性急對未經授權揭露或修改之敏感性分級。
|
-
適用說明:
|
資訊分級應考量限制資訊之營運需要,而組織在考量資訊安全之資訊分級時,可參考資通安全責任等級分級辦法,透過機密性、完整性、可用性以及法規遵循性加以分級,並給予適當保護。
|
ISO 27001:2013(CNS 27001)
-
A.9.4.1 資訊存取限制
-
標準內容:
|
應依存取控制政策,限制對資訊及應用系統功能之存取。
|
|
-
適用說明:
|
組織應規範並落實各資通系統之不同使用權限,就各該系統僅允許具使用權之使用者進行系統登入存取。
|
|
|
關鍵字
|
刑法、資通安全責任等級分級辦法、資料機密性
|
|
|
|
|
|
類別:資訊保護【案號:S11007】美國FCC禁華為、中興等中企產品
【焦點話題】
美國聯邦傳播委員會(Federal Communications Commission, FCC)將5家中國企業列入國安威脅清單。FCC於2021年3月列出「對國家安全構成威脅的通信設備和服務清單」,禁止接受聯邦政府補貼、資助之網路營運商購買該清單上公司生產之設備與器材,並呼籲未接受聯邦政府資金之營運商將所有不受信任電信設備排除在美國市場之外。當時該清單上有5家中國企業,包含:華為、中興通訊、海能達通信、杭州海康威視及浙江大華技術。FCC代理主席羅森沃賽爾表示不安全的網路設備可能會破壞美國5G網絡發展,使外國行為者能夠獲取通訊內容、在網路植入病毒和惡意軟體、竊取私人資訊、從事智財權盜竊以及監視公司與政府機構等惡意活動。
【參考資料來源:新頭殼,110/06/18】
【重點摘要】
-
政府或民間在採購資通訊設備時,應留意避免使用來自受敵意勢力控制之公司所生產之產品。
【法律觀點】
政府或民間企業之資通設備及服務,若由不受信任之供應商或敵意勢力所控制,該供應商或敵意勢力很可能藉以破壞我國網路安全、竊取個人資訊、進行間諜活動、網路攻擊破壞關鍵基礎設施等。因此美國於2021年3月12日所列出之「對國家安全構成威脅的通信設備和服務清單」,認定含華為、中興通訊、海康威視、海能達和浙江大華等五家中國企業[4]對於美國國家安全和公民安全構成不可接受之風險。
就我國而言,為達維護資通安全之目的,政府或民間在採購及使用資通訊技術設備及服務[5]時,為避免公務及機敏資料遭不當竊取,導致機關機敏資訊外洩或造成國家資通安全危害風險,組織應落實資產盤點、對供應商之可靠性進行評估。尤其受資通安全管理法所規範之機關,更應落實採購安全來源之資通產品,以維護機關資通安全。
【管理TIPS】
在採購資通安全產品時,應對供應商之可靠性進行評估,落實採購安全來源之資通產品,以維護機關資通安全。
政府單位在採購資通安全產品時,可將下列事項納入考量範圍,以避免採購到具資安風險之非本國產品[6]:
-
是否屬國內研發、設計或製造之產品(含硬體及軟體產品)。
-
是否為具我國國籍之自然人或依我國法律設立登記之法人、機構或團體在國內提供之服務,且在臺附加價值率達百分之三十五者。
-
是否為我國政府電子採購網共同供應契約中原產地標示為臺灣之資通安全產品。
【相關標準】
ISO 27001:2013(CNS 27001)
-
A.18.1.1 適用之法規及契約的要求事項之識別
-
標準內容:
|
對每個資訊系統及組織,應明確識別、文件化及保持更新所有法律、法令、法規及契約要求事項,以及組織未符合此等要求之作法。
|
-
適用說明:
|
當組織屬於中央與地方機關(構)、公立學校、公營事業及行政法人時,應依照政府採購之相關規範進行選商,並進行後續管理。
|
ISO 27001:2013(CNS 27001)
-
A. 15.1.3 資訊及通訊技術供應鏈
-
標準內容:
|
與供應者之協議,應包含因應與資訊及通訊技術服務及產品供應相關聯之資訊安全風險的要求事項。
|
-
適用說明:
|
組織在進行外部採購時,除應以合約議定相關基礎事項外,協議亦應將資訊安全風險要求事項納入。且應對供應鏈是否具備滿足需求之必要條件且可信賴,進行相對應的背景調查,以降低其不適用之風險。
|
類別:資訊保護【案號:S11008】假網站釣個資銀行用戶遭詐
【焦點話題】
近期傳出數起假冒銀行簡訊之詐騙案件,在誘導民眾點入假頁面輸入帳戶資訊後,再持竊取之帳密資料登入真實銀行頁面,將款項轉出。
主管機關提醒,民眾使用網路銀行及行動銀行比率上升,對近期發生的新詐騙手法,提醒民眾務必注意資訊安全。
主管機關說明,近期傳出詐騙個案,銀行都已在第一時間做出相應處理,受害民眾已向警政單位報案,全案進入調查程序,主管機關並已提醒銀行在官網、網路銀行及行動銀行介面強化客戶交易安全宣導,並應主動提醒客戶不要點選不明簡訊連結,銀行若發現假冒網站,也應立刻通知警政單位。
【參考資料來源:中央通訊社,110/02/09】
【重點摘要】
-
以詐術之不正手法,使第三人誤信簡訊內容為銀行所寄發之資料而輸入個人資料,並於取得受害人資料進而利用已取得受害人銀行帳戶之財產,可能觸犯刑法第339-3條第1項不正利用電腦或其相關設備取財罪。
-
金融資安行動方案提出強化資安監理、深化資安治理、精實金融韌性及發揮資安聯防等四大予資安相關之策勵方向,並據此提列36項執行措施,並以此方向修訂資安自律規範,使金融機構有所遵循。
【法律觀點】
本案係民眾收到詐騙簡訊,對方假冒金融機構於簡訊中提供假網站之超連結,使民眾誤認所連結之網頁係銀行所有,進而主動輸入其銀行之帳號及密碼,當對方取得其銀行之帳號及密碼後,遂利用相關資訊侵入民眾銀行帳戶,此係犯罪者利用社交工程攻擊藉以入侵他人電腦、帳戶等行為,已觸犯刑法第358條[7]無故入侵他人電腦罪。同時,犯罪者意圖為自己不法之所有,利用從民眾騙取而來之網路銀行帳號及密碼,轉出受害民眾帳戶內之財產,則觸犯刑法第339之3條第1項[8]不正利用電腦或其相關設備取財罪,上開二罪最重可處七年以下有期徒刑。
另,依個人資料保護法第27條之規定,非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏[9],且中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法[10],非公務機關應予遵行。
今金融中央目的事業主管機關為金融監督管理委員會,其已針對:金融控股公司、銀行業、證券業、期貨業、保險業、電子票證業、電子支付機構、其他經金融監督管理委員會公告之金融服務業、金融監督管理委員會主管之財團法人等九類非公務機關[11],規定應依其業務規模及特性,衡酌經營資源之合理分配,配置管理人員及資源,以規劃、訂定、修正與執行其個人資料檔案安全維護計畫及業務終止後個人資料處理方法。
隨著資安威脅日益嚴峻,金融主管機關為各金融機構及公會之資安防護訂定金融資安行動方案,作為各金融機構及公會檢討資安策略、管理制度及防護技術等遵循之指引[12]。
金融資安行動方案中多項執行措施係參考資通安全管理法及其相關子法,包括就資通系統訂定防護基準分級管理;就資通訊環境訂定並要求政府機關導入組態基準,以及因應資訊系統委外風險於防護基準納入系統發展生命週期管理各階段控制措施[13];委外辦理資通訊系統之建置、維運或資通服務之提供,於選任及監督受託者時應注意事項[14];要求機關應導入資通安全管理標準,並透過第三方獨立機構驗證資安管理之有效性[15];引導金融機構重視資安人員之資格能力等事項,均係參考資通安全管理法進行調整[16]。
除此之外,金融資安行動方案亦要求一定規模金融機構或純網銀設置資安長,並由副總經理兼任之[17],並鼓勵金融機構建置資安監控機制,且透過資安攻防演練以實證其因應攻擊之防禦能量與應變能力[18]。更建立資安情資關聯分析平台[19],提供金融機構早期預警與防護建議,另透過建立金融資安事件應變體系[20],以有效因應資安事件,並發揮資安聯防的功能。
【管理Tips】
面對社交工程可由兩種角度加以觀察,第一,就組織角度而言,組織應對權限加以分級控管,非屬各單位執掌之事務,不應掌握帳號、密碼等特殊權限;安裝防毒軟體,設定個人防火牆,並定期更新病毒碼;針對電腦系統及應用程式隨時更新修補程式;強制設定安全密碼;判定資料等級並予以加密,且可定期辦理社交工程演練[21]。第二,就個人角度而言,應隨時具備危機意識,對於不明來源之可疑電子郵件不予開啟;再次確認訊息來源確為可信任之通知人始可開啟點閱,檢視後仍須保持警覺並勿輕易點擊連結網址或下載檔案;如有下載檔案必要,先將附件檔案另存新檔並以防毒軟體掃描;如有疑似社交工程之行為,應立即回報相關管理單位,並進行事件記錄。
【相關標準】
ISO 27001:2013(CNS 27001)
-
A. 6.1.3 與權責機關之聯繫
-
標準內容:
|
應維持與相關權責機關之適切聯繫。
|
-
適用說明:
|
組織針對與資安相關事項,均應有與權責主管機關聯繫之管道,透過積極溝通,或可得到包括資安情資分享,提供金融機構早期預警與防護建議。
|
ISO 27001:2013(CNS 27001)
-
A. 16.1.1 責任及程序
-
標準內容:
|
應建立管理責任及程序,以確保對資訊安全事故做迅速、有效及有序之回應。
|
-
適用說明:
|
組織應建立自身的對應程序,並以確保資通安全事故發生時,組織人員能依循該文件化的程序進行後續處理。
|
ISO 27001:2013(CNS 27001)
-
A. 16.1.2 通報資訊安全事件
-
標準內容:
|
應循適切之管理管道,儘速通報資訊安全事件。
|
-
適用說明:
|
公務機關與特定非公務機關於資通安全事件發生時,負有通報主管機關或目的事業主管機關之義務,且該通報應依資通安全事件通報及應變辦法加以處理。
|
|
關鍵字
|
個資洩漏、金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法、金融資安行動方案
|
類別:資訊保護【案號:S11009】中國駭客疑似鎖定我國重要機關組織 須嚴加防範
【焦點話題】
根據美國資安威脅資料分析公司Recorded Future在7月8日所發布之消息,疑似由中國政府資助之駭客攻擊組織(Threat Activity Group 22, TAG-22)利用GlassFish伺服器軟體的漏洞,部署Cobalt Strike類型滲透測試工具,後續再透過植入ShadowPad、Spyder、Winnti等惡意軟體來進行控管、攻擊。而Recorded Future公司旗下的Insikt Group團隊,基於網路流量資料分析結果,找到TAG-22入侵活動鎖定之具體目標,其中即包含我國某財團法人。依據該發布消息所揭露之部分,該財團法人尚未受到實質侵害,而其亦表示,其資安小組將持續關注此案發展,嚴密監控內部資安環境與資安控管,並持續滾動式調整,以保護重要資產資訊安全[22]。
【參考資料來源:iThome新聞,110/7/11】
【重點摘要】
-
境外駭客攻擊我國企業或法人團體網路或電腦系統的行為,可能構成刑法第358條與營業秘密法第13-1條等罪,而企業或法人團體得藉由依循或參考資通安全管理法第17條第1項、資通安全管理法施行細則第6條與資通安全責任等級分級辦法附表十之資通系統防護基準等相關防護及控制措施,防免該等攻擊行為。
-
為防範境外駭客攻擊,應建立資通安全完整防護機制、定期進行各種惡意活動檢視、弱點檢測與滲透測試,以及相關社交工程演練。
【法律觀點】
關於本案境外駭客攻擊我國企業或法人團體網路或電腦系統之行為,可自下列幾個部分判斷可能適用之法律為何。
本案利用GlassFish伺服器軟體的漏洞,部署Cobalt Strike類型滲透測試工具入侵的行為,雖尚未成功竊取資料,但仍有可能構成刑法第358條無故破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者之罪。
依據該分析消息指出,該攻擊活動很有可能是針對某財團法人所進行相關高科技研發之成果。如該等研發之成果,符合營業秘密之要件(即具有秘密性與經濟價值性並已採取合理保密措施)而可能為營業秘密時[23],若遭駭客竊取,則該竊取行為將可能構成營業秘密法第13-1條竊取營業秘密罪[24]。且由於該駭客組織疑似來自於大陸地區,如後續將竊取所得之營業秘密用於大陸地區,另應適用營業秘密法第13-2條之加重處罰規定[25]。
而本案財團法人屬於政府捐助之財團法人,即為資安管理法所規範之特定非公務機關,因此在資安相關法令義務,除依據資通安全管理法第17條第1項[26]與資通安全管理法施行細則第6條[27],訂定包括資通安全防護及控制措施,與資通安全事件應變機制在內之資通安全維護計畫外,尚應依據資通安全責任等級分級辦法附表十之資通系統防護基準,定期確認資通系統之相關漏洞並加以修復,或監控資通系統,以偵測相關攻擊與未授權之連線。透過相關安全防護措施的控管,降低遭到駭客成功攻擊之風險。
【管理Tips】
本案除利用伺服器漏洞加以攻擊,並透過特製後門程式作為長期存取目標的手段,更進一步會透過假檔名的方式,將惡意程式的執行檔偽裝成履歷文件的Office文件檔案,引誘接收者開啟,進而滲透遭受攻擊的單位[28]。在管理上可採取下列方式,因應上述攻擊行為:
-
建置資通安全完整防護機制,包含防毒軟體、網路防火牆、應用程式防火牆、入侵偵測及防禦機制、進階持續性威脅攻擊防禦措施,持續防範可能的惡意程式攻擊。
-
為即時發現可能的攻擊行為,定期進行網路架構檢視、網路惡意活動檢視、使用者端電腦惡意活動檢視、伺服器主機惡意活動檢視、目錄伺服器設定及防火牆連線設定檢視等,如有對外網站或核心資通系統,並定期辦理網站安全弱點檢測與系統滲透測試。當發現高風險弱點時,應即時修復。
-
為避免遭到偽裝的檔案攻擊,應定期執行社交工程宣導、教育訓練及演練,分享最新社交工程案例。
【相關標準】
ISO 27001:2013(CNS 27001)
-
A.7.2.2 資訊安全認知、教育及訓練
-
標準內容:
|
組織所有員工及相關之承包者,均應接受與其工作職能相關的組織政策及程序之適切認知、教育及訓練,並定期更新。
|
-
適用說明:
|
機關或組織應提供適當的教育訓練,使同仁均了解常見的入侵手法,例如惡意程式可能偽裝於工作文件或信件內,避免因誤開啟而遭受攻擊。
|
ISO 27001:2013(CNS 27001)
-
A. 12.2.1 防範惡意軟體之控制措施
-
標準內容:
|
應實作防範惡意軟體之偵測、預防及復原控制措施,並合併適切之使用者認知。
|
-
適用說明:
|
應部署惡意程式防護軟體,對於偽裝文件所包含的惡意程式可加強防護,即便偽裝文件被開啟,仍可即時攔截或避免重要系統被攻擊。
|
ISO 27001:2013(CNS 27001)
-
A.12.6.1 技術脆弱性管理
-
標準內容:
|
應及時取得關於使用中之資訊系統的技術脆弱性資訊,並應評估組織對此等脆弱性之暴露,且應採取適當措施以因應相關風險。
|
-
適用說明:
|
對組織系統定期弱點偵測或透過流量監控,預防可能的攻擊,如本案中Recorded Future結合被動的DNS資料,以及敵對C2偵測手法,以此探查Winnti、ShadowPad、Spyder等後門程式動態。並基於網路流量資料分析結果,能找到TAG-22入侵活動鎖定的具體目標。
|
|
關鍵字
|
境外駭客攻擊、營業秘密、定期漏洞掃描、紅隊模擬測試工具
|
|
|
|
|
|
|
類別:資訊保護【案號:S11010】美國NASCIO發布採購指引整合資安需求
【焦點話題】
美國州際資安長協會(National Association of State Chief Information Officers, NASCIO)於2021年4月發布了將資安整合於採購程序之指引[29]。考量多數的IT採購都在最後階段才讓資安部門加入評估,提供資安保護的程度十分有限,因此本指引強烈建議將從採購最初階段便應納入資安評估,使其成為整體採購程序之一環。本指引特別指出在IT環境中,設備或系統使用者需適當地使用與保護相關資源,而管理者必須妥善管理,資安團隊應定義並監控相關系統,最後採購部門負責人員應將安全性納入採購程序考量,並依此產出相關契約。
【參考資料來源:StateTech,110/5/21】
【重點摘要】
-
進行資訊設備採購之機關,除得依政府採購法授權之辦法於招標文件內就廠商資格訂定限制條件以維護採購時之資安需求外,並應依據行政院相關函令,對於可能導致機敏公務資訊外洩或造成資通安全危害風險之資通訊產品進行妥善的評估與管理,包括不與公務環境介接,並進行汰換等。
-
對於資訊設備或系統之採購,應於採購初期便納入資安考量,並由各個利害關係人組成共同團隊為之,以降低後續所產生之資安風險。可採用的優良實務做法如對採購過程之參與者,進行資安重要性與潛在的風險之教育、以契約要求供應商採用符合需求程度的資安措施、定期審核供應商之資安水準等。
【法律觀點】
目前各國已開始注意到供應鏈之安全性風險問題。為全面性掌握採購之風險,2021年2月拜登總統簽署了14017號「保障美國的關鍵供應鏈」行政命令[30],該行政命令要求聯邦政府各機關應對各該領域之關鍵產業提出風險識別報告與風險處理建議政策,以確保美國之供應鏈不受干擾。如商務部對應半導體製造與先進封裝供應鏈、能源部對應高容量電池與電動車電池供應鏈、衛生及公共服務部對應藥物與活性藥物成分供應鏈等。
而我國目前關於政府機關採購資訊產品之資安相關規定,首先,政府採購法第17條第4項規定:「機關辦理涉及國家安全之採購,有對我國或外國廠商資格訂定限制條件之必要者,其限制條件及審查相關作業事項之辦法,由主管機關會商相關目的事業主管機關定之。」行政院公共工程委員會基於此一授權,發布了「機關辦理涉及國家安全採購之廠商資格限制條件及審查作業辦法」,使採購機關得於招標文件內就廠商資格訂定限制條件,限制投標廠商之國籍或其股東國籍或資金來源。又,依行政院臺護長字第1090201804A號函,要求公務機關使用資通訊產品之原則如下:(一)公務用之資通訊產品不得使用大陸廠牌,且不得安裝非公務用軟體。(二)個人資通訊設備不得處理公務事務,亦不得與公務環境介接。(三)各機關應就已使用或採購之大陸廠牌資通訊產品列冊管理,且不得與公務環境介接。此外,並應儘速完成汰換所使用或採購大陸廠牌資通訊產品(含硬體、軟體及服務)作業。因此為維護機關的供應鏈安全,從採購、使用與管理都有更多需要機關注意及落實的部分。
【管理Tips】
除以法令明文禁止採購標的外,亦可參考前述美國相關指引中所述,成功的大規模科技採購,需要各部門的專業知識與共同投入,相關角色應包括:請購單位的代表人、資訊長辦公室、資安長辦公室、技術專家、風險管理專員(含隱私管理專員)、法律顧問與採購專員等。而此種類型採購應以專案管理方式為之,而非視為傳統單一採購案,並建立專案人員之角色與專案目標,以及應於專案中進行相關風險之評估與處理。
而具體作法方面,該指引建議各州政府在整合採購與資安時,可落實下列作法:
-
採購程序設計方面
在採購程序初始即納入資安考量並規劃其預算,並確保採購程序與政府資安標準與架構的一致性。
-
採購合約規定方面
在採購合約中要求供應商或承包商提供其符合政府資安實際措施的證明,透過契約條款與專案管理規劃與執行,建立嚴格的第三方(供應商)的評估與問責體系。並能建立相關流程可定期監督已在合約關係中之第三方所採取之安全措施。
-
風險管理方面
密切注意供應鏈風險管理,實施採購目標供應鏈風險評估以辨識並減低供應鏈風險。透過市場調查以辨識風險、企業趨勢與採購最佳實務做法。基於風險考量來磋商契約條款,盡可能保持彈性。並應關注政府命令或指引已禁用之產品或軟體。
-
教育訓練方面
教育各利害關係人確保其了解資安的概念、優先性與目標等,並教育採購單位與使用單位關於政府採行的風險評估與處理框架,此外也培育預算單位認知關於資安的重要性與潛藏之風險。
此外,技服中心所發布之「政府資訊作業委外資安參考指引」[31],依照資訊委外生命週期,從計畫作業階段、招標階段、決標階段、履約管理階段、驗收階段、保固作業階段,亦有相關建議可供參考利用。
【相關標準】
ISO 27001:2013(CNS 27001)
-
A. 7.2.2 資訊安全認知、教育及訓練
-
標準內容:
|
組織所有員工及相關之承包者,均應接受與其工作職能相關的組織政策及程序之適切認知、教育及訓練,並定期更新。
|
-
適用說明:
|
應教育資訊設備或系統之採購、預算、使用單位與利害關係人,關於採購過程中資安之重要性,以及相關風險管理程序。
|
ISO 27001:2013(CNS 27001)
-
A. 15.1.3 資訊及通訊技術供應鏈
-
標準內容:
|
與供應者之協議,應包含因應與資訊及通訊技術服務及產品供應鏈關聯之資訊安全風險。
|
-
適用說明:
|
在採購合約中,應要求供應商證明其安全性,並要求其接受管控或定期稽核,同時應納入風險考量訂定契約條款。
|
ISO 27001:2013(CNS 27001)
-
A. 12.6.1 供應者服務之監視及審查
-
標準內容:
|
組織應定期監視、審查及稽核供應者服務交付。
|
-
適用說明:
|
應建立相關流程,以定期監督設備與服務供應商之資安措施或產品標準。
|
|
關鍵字
|
IT採購、資訊採購、供應商監督、資安採購標準
|