為了讓大家更了解,該如何要求自行或委外開發系統的人員提供更具體的管控實施方式之佐證,在此網站針對資通系統防護基準的七大構面逐一舉例。請參閱:
第八章聚焦「委外資通系統廠商須知」,就是帶領大家對資通系統防護基準有更多認識,資通系統不論是自行或委外開發,都可以從這一章獲得技術面的正確認知。
各級資通系統開發要達成資通系統防護基準之要求,開發人員應進一步參考國家資通安全研究院的安全控制措施參考指引、美國國家標準及科技研究所頒布的NIST SP800-53安全控制措施。此章精闢分析這些技術文件的建議做法,開發人員熟讀此章絕對功力大增,完全了解如何設計出符合防護基準要求之系統功能。
此章特別強調為廠商須知,提醒承接系統委外開發就要在技術面好好下功夫,而非只是簡單做做系統備份或備援、保留日誌紀錄、弱點掃描就算了,若備份或備援不夠周延、日誌紀錄不夠完整、不知道什麼情況還要再做源碼掃描或滲透測試,甚至更是漏了SSDLC各階段的資安要求,如此狀況都可能無法達成防護基準要求的三成,絕對會影響驗收結果。
此章最後提供教育訓練簡報「資通安全實地稽核檢核項目第八大類(系統開發SSDLC)」涵蓋全章重點精華,完全開放使用,讓各機關組織在相關工作推動時更容易強化宣導與溝通,也很適合相關課程教學進行討論。
8. 委外資通系統廠商須知
國家資通安全研究院 何全德院長
國家資通安全研究院 吳啟文副院長
教育部資訊及科技教育司 吳穎沺司長
教育部資訊及科技教育司 李月碧、黃士峰、裴善成專門委員
交通部交通科技及資訊司 王東琪副司長
國家衛生研究院資訊中心 莊育秀主任
鴻海研究院 李維斌執行長
BSI英國標準協會台灣分公司 蒲樹盛總經理
SGS 管理與保證事業群 何星翰營運總監
ISAC中華民國大專校院資訊服務協會 黃明達理事長
中央警察大學 王旭正教授(台灣 E 化資安分析管理協會創辦人)
彰化師範大學 曾育民副校長兼資安長
成功大學 蔣榮先特聘教授兼成大醫院健康數據中心執行長
臺北科技大學計算機與網路中心 王永鐘主任
東華大學圖書資訊處 陳偉銘處長
大同大學圖書資訊處 包蒼龍圖資長
國興資訊 洪孟志總經理兼資安長
采威國際資訊 蕭哲君董事長
品科技 賴明宗執行長