CyberSecurity

應用軟體或系統開發服務 - 採購之共通性資通安全基本要求參考一覽表

  1. 說明
    1. 提供服務商
    2. 符合國際標準規範
    3. 應用程式安全
    4. 存取控制
    5. 事件日誌保存與可歸責性
    6. 營運持續計畫
    7. 身分識別與鑑別
    8. 系統與服務獲得
    9. 系統與通訊保護
    10. 系統與資訊完整性
    11. 與其他平台系統API介接
    12. 資安防護建置持續監控
    13. 資安維運服務
    14. 資安演練
    15. 資安檢測
    16. 資安治理成熟度評估
    17. 資安專責人員
    18. 資安教育訓練

彙整公共工程委員會的解釋函,關於各類資訊(服務)採購之共通性資通安全基本要求參考一覽表,綜合整理應用軟體或系統開發服務相關的資安基本要求,在 RFP 與契約訂定上的參考。

logo

說明

提供服務商

  • 具備完善之資通安全管理措施
  • 須具備完善資通安全管理措施或通過CNS 27001或ISO 27001等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準
  • 須具備IEC 62443 資安檢測實驗室 (CBTL) 資格
  • 須具備發佈CVE的資格及能力
  • 開發系統導入安全軟體發展生命週期(Secure SoftwareDevelopment Life Cycle,SSDLC)
  • 不得為大陸地區廠商或第三地區含陸資成分廠商

符合國際標準規範

  • 協助系統導入及取得CNS27001及ISO 27001等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準驗證
  • 機關提供ISO 27701或同級規範要求,廠商協助系統符合機關ISO 27701制度或同級規範

應用程式安全

  • 程式來源不得為來自大陸或港澳地區
  • 廠商提供之應用程式不能有植入後門或木馬程程式
  • 於更新程式時提供軟體物料清單 (Software Bill ofMaterials,SBOM)及安全測試報告,並於每季提供軟體物料清單及安全測試報告

存取控制

  • 依據系統防護需求分級,本系統為__級,需符合__級系統資通系統防護基準存取控制控制措施,包含帳號管理、採最小權限原則及遠端存取
  • 須針對維運管道建立基於零信任(ZTA)控管基礎之防護機制,並導入同等(AAL2)或更高等級的多因子身份鑑別機制

事件日誌保存與可歸責性

  • 依據系統防護需求分級,本系統為__級,需符合__級系統資通系統防護基準事件日誌保存與可歸責性控制措施,應建立日誌保存,包含記錄事件、日誌記錄內容、日誌儲存容量、日誌處理失效之回應、時戳及校時、日誌資訊之保護

營運持續計畫

  • 依據系統防護需求分級,本系統為__級,需依據__級系統制定系統營運持續計畫控制措施,包含系統備份及系統備援

身分識別與鑑別

  • 依據系統防護需求分級,本系統為__級,需符合__級系統資通系統防護基準識別與鑑別控制措施,包含內部使用者識別與鑑別、身分驗證管理、鑑別資訊回饋、加密模組鑑別及非內部使用者之識別與鑑別

系統與服務獲得

  • 有關帳號安全如:密碼複雜度、多因子認證等原則,可參考資通安全責任等級分級辦法(附表十,https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304)
  • 依據系統防護需求分級,本系統為__級,需符合__級系統資通系統防護基準系統與服務獲得控制措施,包含系統發展生命週期需求階段、設計階段、開發階段、測試階段、部署與維運階段、委外階段、獲得程序及系統文件

系統與通訊保護

  • 依據系統防護需求分級,本系統為__級,需符合__級系統資通系統防護基準系統與通訊保護控制措施,包含傳輸之機密性與完整性及資料儲存之安全
  • 資料庫存取及管理操作資料庫之稽核軌跡紀錄,至少包含使用者ID、存取時間、存取之資料庫物件及執行的完整指令

系統與資訊完整性

  • 依據系統防護需求分級,本系統為__級,需符合__級系統資通系統防護基準系統與資訊完整性控制措施,包含漏洞修復、資通系統監控及軟體、資訊完整性
  • 廠商應整體考慮實體、軟體與資料安全,及系統運作的正確性,相關流程應規劃妥適的安全性協定(如TLS保密協定等),以完整的保護資料不被盜取、竄改,並杜絕發生系統入侵之事件

與其他平台系統API介接

  • 其他平台系統介接之網路連線間資料通訊應加密
  • 不得使用管理人員帳號介接資料庫,應另行建立最小(必要)權限的帳號提供應用程式介接資料庫使用
  • 機敏資料的新增、刪除、修改及讀取,應有稽核紀錄
  • 應用系統之資料匯出或介接其它系統,如有去識別化之需求,廠商應配合本機關要求處理

資安防護建置持續監控

  • 資安監控(SOC)機制,廠商須提供 7x24小時全天候監控
  • 須提供資安事件應變服務(Emergency ResponseService)/IR
  • DDoS 防護服務
  • 導入端點偵測與回應機制(Endpoint Detection andRespons, EDR)
  • 協助機關就委託案範圍內導入資安弱點通報機制(Vulnerability Alert and Notification System,VANS)
  • 導入政府組態基準(Government ConfigurationBaseline,GCB)
  • 如有不適用規則,應擬具管理或替代作為,並提請機關資安長確認風險。
  • 導入防毒軟體
  • 導入網路防火牆
  • 導入入侵偵測及防禦機制
  • 導入應用程式防火牆
  • 導入進階持續性威脅攻擊防禦措施
  • 導入網路流量全時側錄分析

資安維運服務

  • 專案建置範圍之系統軟體或硬體設備,發現之安全漏洞,定期完成更新、修補或進行緊急之應變

資安演練

  • 分散式阻斷服務(Distributed Denial of Service,DDoS)攻防演練
  • 涉及重要對外服務之系統建議評估辦理。
  • 入侵與攻擊模擬 (Breach and Attack Simulation)演練
  • 紅/藍隊演練

資安檢測

  • 原始碼檢測
  • 程式應用軟體或系統上線前主機弱點掃描
  • 程式應用軟體或系統上線前網站弱點掃描
  • 程式應用軟體或系統上線前滲透測試掃描
  • 主機弱點掃描
  • 網站弱點掃描
  • 滲透測試掃描
  • 資安健診
  • 取得行動應用 App 基本資安標章
  • 外部攻擊面管理(External Attack SurfaceManagement,EASM)檢測

資安治理成熟度評估

  • 由專業顧問協助完成標案資安治理成熟度評估

資安專責人員

  • 廠商提供資安駐點人員

資安教育訓練

  • 提供機關資安及資訊人員 12小時以上
  • 提供機關一般人員與主管3小時
  • 提供機關資安專責人員取得專業證照
  • 廠商需參加機關資安規範教育訓練