資安稽核是評估組織資訊安全措施和政策是否符合標準的關鍵程序。我們將2020至2023年的稽核缺失項目統計出前十項常見問題,並按角色分類,包括系統管理者、一般使用者/主管和開發人員,介紹這些問題和解決方案。通過了解問題根源並採取適當措施,組織可以增強資訊安全防護,降低風險。讓我們一同探索這些重要議題,確保組織內的資訊安全得到適當保護。
右側Sunburst動態圖表呈現系統管理者的常見缺失項目,您可以點選年度和主題進一步查看相關資訊。
在2023年,新增了履約檢核與督導管理、漏洞修復。增加的檢核項目有身分驗證管理、安全性檢測、日誌之監控與查核,主要是因為今年的要求更加嚴格。而資通安全防護措施、系統與服務獲得等類別較往年下降。
在2020和2021年,資產盤點清冊、備份資料回復、日誌監控與查核等三類缺失較為普遍,兩年間情形相似。2021年新增檢核的安全性檢測、資通安全防護措施,其缺失也較常見。但透過加強教育訓練,2022年前三類的缺失數開始降低。同時,資通安全防護措施缺失數增加,因新增GCB、VANS、EDR、SOC檢核項目。此外,2022年新增的身分驗證管理,其缺失較多,代表系統管理員應加強關注其合規性。
每一類常見缺失都應引以為鑑,先看看自己是否也犯了稽核常見的狀況。然後,就要基於自己遵循的ISMS制度(如自己學校的ISMS規範),查看程序書的相關條文,以及落實資安管理作為後留下的佐證文件,當然受委託的各團隊亦可遵循國教體系ISMS管理文件規範(展開觀看)。基本上,了解應遵循的程序及落實的做法之後,要達成合規的細節就參閱每一類最後的建議事項。
未執行資訊資產系統盤點作業。
資訊資產盤點作業應再落實,如未列出資訊系統、廠商人員、資料庫、跳板機等資訊資產。
未隨時維護更新資訊資產清冊及進行風險評估。
國教體系ISMS管理文件規範:
若委外單位已有ISMS文件與經驗,則以委外單位之資產清冊進行資產、資通系統盤點,並確認資料有效性;若委外單位尚未有ISMS文件與經驗,請依國教體系ISMS文件之「ISMS-2-001資訊資產管理程序書」落實盤點人員類、資訊類、硬體類、軟體類、環境保護類之資訊資產。
應確實盤點資產建立清冊,並定期更新資產清冊,委外單位若無ISMS文件與經驗,請參考國教體系ISMS文件之「ISMS-2-001-01資訊資產清冊」並定期更新與維護之。
建議事項:
🔸 資訊資產分類:
人員類:編制內人員、臨時鐘點人員、委外受託單位/駐點人員、委外委託單位
範例—正式編制人員、臨時人員、工讀生、專案人員、委外受託單位……等。
資訊類:作業文件、系統文件、契約資通紀錄(電子/紙本)、系統紀錄(Log)
範例:資料庫與資料檔案、備份資料、原始程式碼、網路架構圖、系統文件、操作或支援程序、使用手冊、教育訓練教材、管理制度文件、緊急應變& 復原計畫、營運持續計劃(BCP)、稽核日誌、契約與協議、報表、表單記錄……等。
硬體類:個人電腦、可攜式電腦、伺服器、資安設備、網路設備、可攜式儲存媒體、電腦保護設施、其他硬體
範例:
一般硬體:包含電腦設備(伺服器、筆記型電腦、個人電腦、工作站)、 CD/DVD 燒錄器、CD/DVD 光碟機、磁帶機、軟碟機、投影機、PDA、印表機……等。
通訊設備:集線器、橋接器、網路交換器、路由器、數據機、電話自動交換機(PBX)、網路纜線、防火牆、入侵偵測系統、視訊會議設備、傳真機、手機。
儲存媒體:CD/DVD(空白)、硬碟(無資料)、磁片(空白)、磁帶(空白)、移動式硬碟(空白)、錄音/影帶(無資料)……等。
4. 軟體類:作業系統、應用系統、套裝軟體、軟體開發工具、資通安全系統
範例:應用系統軟體、作業系統軟體、開發工具、套裝軟體、公用程式、防火牆軟體、防毒軟體、驗證軟體、資料庫管理系統(DBMS)、加密軟體、文件管理系統、內部開發程式、內部發展系統......等。
5. 環境保護類:一般辦公區域、特殊辦公區域、資通機房、倉庫、建築保護設施
範例:
建築類:電腦機房、會議室、辦公室、監控室、接待區、交貨區/裝載區……等。
環境保護設施:不斷電系統、第二電力供應迴路、穩壓器、機櫃、避雷裝置、警報系統、備用發電系統、環境控制系統(火偵測、熱偵測、水偵測、溫濕度偵測、自動消防滅火系統)……等。
🔸 資訊資產分級:
機敏:
含機密或敏感資訊,僅提供少數相關業務承辦人員及其權責單位主管,或被授權之單位及人員使用。
發生資通安全事件可能造成未經授權之資訊揭露,對機關之營運、資產或信譽等方面將產生非常嚴重或災難性之影響。
資訊資產存取權限須經由高階主管核准同意。
限閱:
含部分敏感資訊,僅供組織內部人員或被授權之外部單位使用。
發生資通安全事件可能造成未經授權之資訊揭露,對機關之營運、資產或信譽等方面將產生嚴重之影響。
資訊資產存取權限須經由權責單位主管核准同意。
一般:
為一般性資料可對外公開,但須遵守相關發布流程。
發生資通安全事件可能造成未經授權之資訊揭露,對機關之營運、資產或信譽等方面將產生有限之影響。
資訊資產存取權限只須經由資訊資產使用者同意。
未進行備份回復測試,應定期測試以確保備份資料有效性。
備份作業應定期檢核執行狀況,依國教體系管理文件規定,定期執行資料回復測試並留存紀錄文件。
備份資料定期回復測試,僅有佐證資料未有完整簽核。
國教體系ISMS管理文件規範:
若委外單位無ISMS文件與經驗,則可參考國教體系ISMS文件之「ISMS-2-009資訊備份管理程序書」第6.5.6節配合相關作業,至少每年執行資料回復測試,以確認備份資料之可用性。並將測試結果紀錄於「ISMS-2-009-02備份資料回復測試紀錄表」。
若委外單位有ISMS文件與經驗,則以委外單位之ISMS文件作為稽核參考。
建議事項:
🔸資料備份
資料備份3-2-1原則
至少三份備份、分別放置兩種不同儲存媒體、一份存放於異地
🔸資料備份週期
視資料量成整速度、重要性、資料總量來制定備份週期。
備份週期直接與資通系統定義之RPO關聯。
備份週期關係到資源分配與備份成本。
🔸資料備份確認
國教體系「ISMS-2-009-01 資通系統備份計畫表」
🔸資通系統之備份涵蓋範圍
系統:系統設定檔、程式碼、資料庫、系統日誌等。
網通設備:交換器設定檔、防火牆設定檔、防火牆政策規則、
使用者個人資料:電子郵件資料庫、個人雲端文件庫
歷史資料:因法規或相關政策規範所必須留存之歷史資料。
未定期檢視紀錄檔(3個月),並留存相關文件記錄。
系統稽核紀錄應包含OS事件、DB事件、AP事件、備份容量等事件Log(含稽核系統主機及所連線之防火牆,針對所有管理者及使用者帳號執行之各項紀錄檔)。
定期確認日誌備份情況及備份有效性。
無達到留存6個月日誌要求。
稽核資訊之保護:系統必須保存系統日誌或建置系統記錄伺服器
國教體系ISMS管理文件規範:
若委外單位無ISMS文件與經驗,則可參考國教體系ISMS文件之「ISMS-2-005實體與環境安全管理程序書」第5.5節規定,根據「ISMS-2-005-04主機系統/防火牆安全檢查表」第9大題要求定期做日誌查核。
若委外單位有ISMS文件與經驗,則以委外單位之ISMS文件作為稽核參考。
建議事項:
若委外單位使用其ISMS管理文件,需符合國教體系管理文件之規定,留存3個月之紀錄與審查文件。
需將查核紀錄留存,加註於ISMS-2-005-04主機系統/防火牆安全檢查表(或放入附件)。
與資通系統相關之軟硬體設備、均需建立必要之日誌留存機制。
日誌之產出、留存、審查及保存。
建立各資通系統日誌之保護與不可否認性。
系統日誌紀錄應包含紀錄應包含人、事、時、地、物等關鍵資訊。
系統登入資訊之留存,包含使用者與管理者帳號之正常登入與登入失敗之紀錄。
資通系統之日誌留存與保護目的為提供資安事件(故)之數位軌跡資訊,提供事件分析使用,應同時考量內部時鐘應依機關規定之時間週期與基準時間源進行同步。(中、高)
端點偵測及應變機制(EDR):初次受核定或等級變更後之二年內,完成端點偵測及應變機制導入作業,並持續維運及依主管機關指定之方式提交偵測資料。
政府組態基準(GCB):初次受核定或等級變更後之一年內,依主管機關公告之項目,完成政府組態基準導入作業,並持續維運。導入政府組態基準可能會導致伺服器服務異常,建議於套用政府組態基準前將伺服器資料進行備份,或是確保備援系統正常運作,將伺服器套用政府組態基準後,持續觀察服務是否異常,一旦出現異常則使用備份系統或備援機制將伺服器服務還原。
資通安全弱點通報機制(VANS):初次受核定或等級變更後之一年內,完成資通安全弱點通報機制導入作業,並持續維運及依主管機關指定之方式提交資訊資產盤點資料。
稽核事件:每3個月至少完成一次檢視主機紀錄檔及防火牆紀錄檔(log review)作業。
國教體系ISMS管理文件規範:
若委外單位無ISMS文件與經驗,則可參考國教體系ISMS文件之「ISMS-2-006網路安全管理程序書」第6.2.8.4節配合相關作業,依照資通安全責任等級B級之公務機關應辦事項規定,須依系統防護等級定期執行資通系統弱點掃描、滲透測試、源碼檢測、資安健診等安全性檢測作業,補強結果紀錄於「ISMS-2-006-02資通設備重大弱點補強紀錄表」。
若委外單位有ISMS文件與經驗,則以委外單位之ISMS文件作為稽核參考。
建議事項:
常見稽核建議為WAF、防火牆規則、防毒軟體
在2023年常見缺失為套用GCB Agent後未更改到組態,請進行確認「密碼永久有效」是否有勾稽。(可參考Q&A說明的做法檢查)
弱點掃描:全部核心與非核心資通系統每年辦理一次網站安全弱點檢測,中級以上風險須於2週內完成修補。
全部核心與非核心資通系統每二年辦理一次資通安全健診:網路架構檢視、網路惡意活動檢視、使用者端電腦惡意活動檢視、伺服器主機惡意活動檢視、目錄伺服器設定及防火牆連線設定檢視。
源碼掃描:
國教體系系統源碼掃描頻率如下:
a.核心資通系統每半年辦理一次源碼掃描。
b.非核心系統每年辦理一次源碼掃描。
中級以上風險須於1個月內完成修補。並均經複掃確認。如業管單位未能依限改善,須提出風險處理計畫,並簽陳國教體系核可。
系統發展生命週期開發階段執行源碼掃描檢測規定,請參資通系統防護基準控制措施查核表。
**💡此題項明年查核重點:今年度檢測後是否有修補風險**
4.滲透測試:全部核心資通系統每二年辦理一次系統滲透測試,中級以上風險須於2週內完成修補,並均經複掃確認。如業管單位未能依限改善,
須提出風險處理計畫,並簽陳長官核可。
國教體系ISMS管理文件規範:
若委外單位無ISMS文件與經驗,則可參考國教體系ISMS文件之「ISMS-2-006網路安全管理程序書」第6.2.8.4節配合相關作業,依照資通安全責任等級B級之公務機關應辦事項規定,須依系統防護等級定期執行資通系統弱點掃描、滲透測試、源碼檢測、資安健診等安全性檢測作業,補強結果紀錄於「ISMS-2-006-02資通設備重大弱點補強紀錄表」。
若委外單位有ISMS文件與經驗,則以委外單位之ISMS文件作為稽核參考。
建議事項:
目前國教體系資訊中心已提供主機弱掃、網頁弱掃、源碼檢測服務。(由委外建置系統單位提出檢測需求,資訊中心固定每個月執行主機弱掃、每半年執行源碼檢測,若檢測報告有中高風險,由國教體系各組承辦進行管考與追蹤)
國教體系ISMS管理文件規範:
若無ISMS文件與經驗,則可參考國教體系ISMS文件之「ISMS-2-007帳號密碼及存取控制管理程序書」第6.6.2節之帳號密碼使用管理原則,各資通系統管理者每年應審查所有系統使用者及管理者帳號一次,以確保所有帳號及存取權限之合法使用,並將查核結果記錄於「ISMS-2-007-03系統帳號審查紀錄單」中備查。
若委外單位已有ISMS文件與經驗,請比對管理文件是否有符合國教署管理文件之查核規定。
建議事項:
系統具備帳號管理機制(申請、建立、修改、啟用、停用、刪除)。
定期檢視是否帳號異常建立、竄改或啟用等。
建立基準使用者設定檔並偵測異常行為,如以下操作:
在不尋常的時間嘗試登入
來自異常位置的登入嘗試
來自未知裝置的登入嘗試
密碼複雜度包含長度限制及組成字元種類,強制密碼最短效其目的防止短期內頻繁變換密碼後又改回原始密碼,強制最常效期目的避免固定使用同一密碼。實務可參考政府組態基準建議值。
前3次舊密碼應被保留(以雜湊值形式),設定新密碼若雜湊值同前則拒絕之。
系統應實作帳戶鎖定機制,於鎖定期間禁止該帳號所有登入嘗試,超過鎖定時間則重新計次。
2023年在【履約檢核及督導管理】的要求上新增並調整了以下幾個項目:
受託機構應填寫「保密合約書」,相關人員均應簽訂簽訂「保密同意書」。
受託機構團隊成員不得為陸籍人士,並不得提供及使用大陸廠牌資通訊產品。
依「資通安全責任等級分級辦法」附表九「資通系統防護需求分級原則」載明資通系統防護需求等級(防護需求等級為普、中、高級),並依「資通安全責任等級分級辦法」附表十「資通系統防護基準」完成相對應防護需求等級之資通系統防護基準控制措施。
經費編列明細表及投標清單明列資訊及資安經費,並資安經費須占資訊經費百分之五估算。
受託機構執行受託業務,違反資通安全相關法令或知悉資通安全事件時,應立即通知本署及採行之補救措施,提出緊急應變處置,並配合機關做後續處理;必要時,得由資通安全管理法主管機關於適當時機公告與事件相關之必要內容及因應措施,並提供相關協助。
國教體系ISMS管理文件規範:
國教體系ISMS文件之「ISMS-2-012資訊業務委外作業管理程序書」第6.8.2節之規定,應依據與委外受託單位所簽訂契約或任何安全協議中所陳述之資通安全規範。
建議事項:
該項目為2023年度新上榜的項目,主要是因要求上有做一些新增與調整,可參考上方【稽核常見】的說明,檢查委辦契約是否有加入或調整這些要求。
(new)身分驗證管理:資通系統及委辦計畫團隊所在場域或執行計畫相關業務之個人電腦密碼設定
帳號管理:資通系統之管理權限帳號設定
帳號以8碼以上組成,需包含英文大、小寫、數字以上3種字元之其中2種。
帳號密碼不可相同。
不可使用鍵盤順序鍵(如:qwer)。
不可使用身分證字號。
身分驗證管理:資通系統之管理權限密碼設定
密碼以12碼以上組成,需包含英文大、小寫、數字、特殊符號以上4種字元之其中3種。
帳號密碼不可相同。
不可使用鍵盤順序鍵(如:qwer)。
建立帳號管理機制,包含帳號之申請、建立、修改、啟用、停用及刪除之程序。
具備帳戶鎖定機制,帳號登入進行身分驗證失敗達三次後,至少十五分鐘內不允許該帳號繼續嘗試登入或使用機關自建之失敗驗證機制。
使用密碼進行驗證時,應強制最低密碼複雜度;強制密碼最短及最長之效期限制。(對非內部使用者,可依機關自行規範辦理)
密碼變更時,至少不可以與前3次使用過之密碼相同。(對非內部使用者,可依機關自行規範辦理)
限制最高管理者權限帳號數量,不能超過3個為基準。
國教體系ISMS管理文件規範:
若無ISMS文件與經驗,則可參考國教體系ISMS文件之「ISMS-2-007帳號密碼及存取控制管理程序書」第6.6.2節之帳號密碼使用管理原則,各資通系統管理者每年應審查所有系統使用者及管理者帳號一次,以確保所有帳號及存取權限之合法使用,並將查核結果記錄於「ISMS-2-007-03系統帳號審查紀錄單」中備查。
若委外單位已有ISMS文件與經驗,請比對管理文件是否有符合國教署管理文件之查核規定。
建議事項:
系統具備帳號管理機制(申請、建立、修改、啟用、停用、刪除)。
定期檢視是否帳號異常建立、竄改或啟用等。
建立基準使用者設定檔並偵測異常行為,如以下操作:
在不尋常的時間嘗試登入
來自異常位置的登入嘗試
來自未知裝置的登入嘗試
密碼複雜度包含長度限制及組成字元種類,強制密碼最短效其目的防止短期內頻繁變換密碼後又改回原始密碼,強制最常效期目的避免固定使用同一密碼。實務可參考政府組態基準建議值。
前3次舊密碼應被保留(以雜湊值形式),設定新密碼若雜湊值同前則拒絕之。
系統應實作帳戶鎖定機制,於鎖定期間禁止該帳號所有登入嘗試,超過鎖定時間則重新計次。