資訊安全

5.7 威脅情資

控制：應蒐集並分析與資訊安全威脅相關之資訊，以產生威脅情資。

目的：提供關於組織環境威脅的認知，以便能夠採取適當緩解措施。

 V

5.23 使用雲端服務

之資訊安全

控制：應依組織之資訊安全要求事項，建立獲取、使用、管理及退出雲端服務的過程。

目的：指定和管理使用雲端服務的資訊安全。

V

V

V

5.3 營運持續之 ICT

備妥性

控制：應依營運持續目標及 ICT 持續之要求事項，規劃、實作、維護及測試 ICT 備妥性。

目的：在服務中斷期間，確保組織的資訊和其他相關資產之可用性。

V

V

8.9 組態管理

控制：應建立、書面記錄、實施、監控和審查硬體、軟體、服務和網路的組態，包括安全組態。

目的：確保硬體、軟體、服務和網路在所需的安全組態下正常運行，並且組態不會因未經授權或不正確的更改而改變。

V

V

V

8.11 資料遮蔽

應使用資料遮蔽，依組織關於存取控制之主題特定政策及其他相關的主題特定政策，以及營運要求事項，並將適用法令納入考量。

控制：應根據組織的特定主題存取控制策略和其他相關特定主題策略以及業務要求使用資料遮罩，同時考慮適用的法律。

目的：限制包括 PII 在內的敏感資訊的暴露，並遵守法律、法令、法規和契約要求。

技術性指引：加密、刪除／替換字元、使用雜湊，將可識別資訊進行去識別化、匿名化、假名化。

V

V

8.12 資料洩露預防

控制：處理、存儲或傳輸敏感資訊的系統、網路和任何其他設備都應採取資料洩漏預防措施。

目的：檢測和防止個人或系統未經授權披露和提取資訊。

應監控所有可能造成資料外洩的管道，將資料洩露預防措施套用至處理、儲存或傳輸敏感性資訊之系統、網路及所有其他裝置。

要求組織對於資料外洩要做防範，資料外洩防範應應用於系統、網路，以及其他處理、存儲或傳送敏感資訊的設備。必須訂定應對作為，在偵測到疑似發生資料外洩事件時，可迅速作出反應，避免損害擴大。

V

8.16 監視活動

控制：應監控網路、系統和應用程式的異常行為，並採取適當的措施來評估潛在的資訊安全事件。

目的：檢測異常行為和潛在的資訊安全事件。偵測異常行為和潛在的資訊安全事件，透過在網路流量中找到異常的癥候，以達到持續性的防護作為，採取適當的應對措施。

具體執行方式可運用先前提到過的威脅情報蒐集與運用循環機制、以機器學習或 AI 來進行監控、使用黑名單／白名單、執行弱點掃描／滲透測試、安裝並確實執行防毒軟體/檢測軟體等。

V

V

V

8.23 網頁過濾

控制：應管理對外部網站的存取，以減少暴露於惡意內容。

目的：保護系統免受惡意軟體的破壞，並防止存取未經授權的 Web 資源。

V

8.28 安全程式設計

控制：安全開發原則應該應用於軟體開發。

目的：確保安全地編寫軟體，從而減少軟體中潛在的資訊安全漏洞的數量。