應用軟體或系統開發服務 - 採購之共通性資通安全基本要求參考一覽表

2023-10-01

彙整公共工程委員會的解釋函,關於各類資訊(服務)採購之共通性資通安全基本要求參考一覽表,綜合整理應用軟體或系統開發服務相關的資安基本要求,在 RFP 與契約訂定上的參考。

logo

說明

提供服務商

  • 具備完善之資通安全管理措施
  • 須具備完善資通安全管理措施或通過CNS 27001或ISO 27001等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準
  • 須具備IEC 62443 資安檢測實驗室 (CBTL) 資格
  • 須具備發佈CVE的資格及能力
  • 開發系統導入安全軟體發展生命週期(Secure SoftwareDevelopment Life Cycle,SSDLC)
  • 不得為大陸地區廠商或第三地區含陸資成分廠商

符合國際標準規範

  • 協助系統導入及取得CNS27001及ISO 27001等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準驗證
  • 機關提供ISO 27701或同級規範要求,廠商協助系統符合機關ISO 27701制度或同級規範

應用程式安全

  • 程式來源不得為來自大陸或港澳地區
  • 廠商提供之應用程式不能有植入後門或木馬程程式
  • 於更新程式時提供軟體物料清單 (Software Bill ofMaterials,SBOM)及安全測試報告,並於每季提供軟體物料清單及安全測試報告

存取控制

  • 依據系統防護需求分級,本系統為__級,需符合__級系統資通系統防護基準存取控制控制措施,包含帳號管理、採最小權限原則及遠端存取
  • 須針對維運管道建立基於零信任(ZTA)控管基礎之防護機制,並導入同等(AAL2)或更高等級的多因子身份鑑別機制

事件日誌保存與可歸責性

  • 依據系統防護需求分級,本系統為__級,需符合__級系統資通系統防護基準事件日誌保存與可歸責性控制措施,應建立日誌保存,包含記錄事件、日誌記錄內容、日誌儲存容量、日誌處理失效之回應、時戳及校時、日誌資訊之保護

營運持續計畫

  • 依據系統防護需求分級,本系統為__級,需依據__級系統制定系統營運持續計畫控制措施,包含系統備份及系統備援

身分識別與鑑別

  • 依據系統防護需求分級,本系統為__級,需符合__級系統資通系統防護基準識別與鑑別控制措施,包含內部使用者識別與鑑別、身分驗證管理、鑑別資訊回饋、加密模組鑑別及非內部使用者之識別與鑑別

系統與服務獲得

  • 有關帳號安全如:密碼複雜度、多因子認證等原則,可參考資通安全責任等級分級辦法(附表十,https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304)
  • 依據系統防護需求分級,本系統為__級,需符合__級系統資通系統防護基準系統與服務獲得控制措施,包含系統發展生命週期需求階段、設計階段、開發階段、測試階段、部署與維運階段、委外階段、獲得程序及系統文件

系統與通訊保護

  • 依據系統防護需求分級,本系統為__級,需符合__級系統資通系統防護基準系統與通訊保護控制措施,包含傳輸之機密性與完整性及資料儲存之安全
  • 資料庫存取及管理操作資料庫之稽核軌跡紀錄,至少包含使用者ID、存取時間、存取之資料庫物件及執行的完整指令

系統與資訊完整性

  • 依據系統防護需求分級,本系統為__級,需符合__級系統資通系統防護基準系統與資訊完整性控制措施,包含漏洞修復、資通系統監控及軟體、資訊完整性
  • 廠商應整體考慮實體、軟體與資料安全,及系統運作的正確性,相關流程應規劃妥適的安全性協定(如TLS保密協定等),以完整的保護資料不被盜取、竄改,並杜絕發生系統入侵之事件

與其他平台系統API介接

  • 其他平台系統介接之網路連線間資料通訊應加密
  • 不得使用管理人員帳號介接資料庫,應另行建立最小(必要)權限的帳號提供應用程式介接資料庫使用
  • 機敏資料的新增、刪除、修改及讀取,應有稽核紀錄
  • 應用系統之資料匯出或介接其它系統,如有去識別化之需求,廠商應配合本機關要求處理

資安防護建置持續監控

  • 資安監控(SOC)機制,廠商須提供 7x24小時全天候監控
  • 須提供資安事件應變服務(Emergency ResponseService)/IR
  • DDoS 防護服務
  • 導入端點偵測與回應機制(Endpoint Detection andRespons, EDR)
  • 協助機關就委託案範圍內導入資安弱點通報機制(Vulnerability Alert and Notification System,VANS)
  • 導入政府組態基準(Government ConfigurationBaseline,GCB)
  • 如有不適用規則,應擬具管理或替代作為,並提請機關資安長確認風險。
  • 導入防毒軟體
  • 導入網路防火牆
  • 導入入侵偵測及防禦機制
  • 導入應用程式防火牆
  • 導入進階持續性威脅攻擊防禦措施
  • 導入網路流量全時側錄分析

資安維運服務

  • 專案建置範圍之系統軟體或硬體設備,發現之安全漏洞,定期完成更新、修補或進行緊急之應變

資安演練

  • 分散式阻斷服務(Distributed Denial of Service,DDoS)攻防演練
  • 涉及重要對外服務之系統建議評估辦理。
  • 入侵與攻擊模擬 (Breach and Attack Simulation)演練
  • 紅/藍隊演練

資安檢測

  • 原始碼檢測
  • 程式應用軟體或系統上線前主機弱點掃描
  • 程式應用軟體或系統上線前網站弱點掃描
  • 程式應用軟體或系統上線前滲透測試掃描
  • 主機弱點掃描
  • 網站弱點掃描
  • 滲透測試掃描
  • 資安健診
  • 取得行動應用 App 基本資安標章
  • 外部攻擊面管理(External Attack SurfaceManagement,EASM)檢測

資安治理成熟度評估

  • 由專業顧問協助完成標案資安治理成熟度評估

資安專責人員

  • 廠商提供資安駐點人員

資安教育訓練

  • 提供機關資安及資訊人員 12小時以上
  • 提供機關一般人員與主管3小時
  • 提供機關資安專責人員取得專業證照
  • 廠商需參加機關資安規範教育訓練
#Outsourcing #CyberSecurity #Procurement