「裝置安全」政策制定
資訊安全政策範本分為基礎版與進階版,各版本分別再分為四個等級類型,請衡量組織的狀況作適當的調整。
等級說明
| 等級 | 說明 |
|---|---|
| 優先 | 需優先且必須達成的項目。 |
| 建議 | 完成或達成該項目會更好。 |
| 須知 | 需先瞭解相關的背景知識。 |
| 選用 | 額外的建議或其他的選項。 |
基礎版本
適用於剛開始建立資訊安全政策的小型公民團體
優先
- 強密碼設定:所有內部電子設備必須設置強密碼,包括大寫字母、小寫字母、數字及特殊字符。
- 螢幕鎖定:所有工作裝置需設置自動螢幕鎖定,閒置時間不要超過 3 ~ 5 分鐘。
- 設備更新:定期檢查並安裝所有設備的系統和應用更新,確保最新的安全更新已安裝。
- 防毒軟體:在所有設備上安裝並定期更新防毒軟體,執行定期掃描。
- 網路連接:連接組織內網的所有裝置必須經過批准並進行適當配置。
- 設備共享限制:嚴禁將工作裝置與家庭成員或其他未經授權的人員共用。
- USB 使用限制:限制 USB 和其他外部儲存裝置的使用,僅允許經過批准的裝置接入。
建議
- 自動更新:啟用所有設備的自動更新功能,以確保安全修正及時安裝。
- 防盜軟體:在筆記型電腦和其他可攜帶設備上安裝定位與防盜軟體,以防設備遺失或被盜。
- 備份策略:制定並實施設備資料的定期備份策略,備份應儲存在安全位置。
- 安全培訓:定期提供成員有關設備安全使用的培訓,提升資訊安全意識。
- 防火牆:確保內部設備的防火牆已經正確配置並啟用。
- 資安稽核:定期進行內部資安稽核,檢查設備設定安全性。
- 設備安全管理:實施設備管理方案,集中管理和紀錄所有內部設備。
須知
- 基本資安概念:理解基本的資訊安全概念,如風險管理、威脅與漏洞等。
- 社交工程攻擊:了解社交工程攻擊的常見手法及其防範措施。
- 物理安全:認識到物理安全對於設備安全的重要性,避免設備被盜或損壞。
- 遠端工作風險:了解遠端工作時可能面臨的資安風險及其防護措施。
- 資料加密方法:熟悉基本的資料加密方法及其實際應用場景。
- 網路釣魚:了解網路釣魚攻擊的常見手法及其防範方法。
- 行動裝置安全:了解如何保護行動裝置(如手機和平板)的資訊安全。
選用
- 零信任網路:考慮實施零信任網路架構,以增強內部網路的安全性。
- 端對端加密:在內部通訊中推行端對端加密技術,確保通訊內容安全。
- 使用者權限管理:實行詳細的使用者權限管理,僅授予必要的存取權限。
- 安全引導:為所有內部新進成員提供設備安全引導,確保其了解基本的安全操作。
- 虛擬私人網路(VPN):內部網路應使用 VPN 來保護資料傳輸的隱密性。
- 設備淘汰處理:建立安全的設備淘汰及資料銷毀流程,確保無資料洩露風險。
- 即時監控:考慮引入即時網路及設備監控通報,及時發現並應對安全威脅。
進階版本
適用於已有一定資訊安全政策基礎且規模較大的公民團體
進階版本
優先
- 多因素驗證:所有內部設備登錄都應使用多因素驗證(MFA)機制,提升帳號安全。
- 設備編號及登記:所有內部設備需登記編號,建立詳細的設備管理後台。
- 入侵檢測系統(IDS):實施入侵檢測系統,監控內部網路並及時預警異常行為。
- 加密儲存:所有機敏資料儲存於設備上須均加密,確保無法被未經授權人員解讀。
- 災後復原:實施全面的災後復原計劃,以在發生網路攻擊或設備故障時迅速恢復。
- 即時威脅監測:使用即時威脅監測工具,識別並防範潛在網路攻擊。
- 自動化更新管理:利用管理工具自動化更新程式的佈署與安裝,確保設備安全。
建議
- 白名單軟體管理:實行白名單控制,僅允許使用經過批准的軟體和應用程式。
- 細粒度存取控制:實施細粒度存取控制(如角色為基礎的存取控制(RBAC)),明確分配存取權限。
- 行為檢測:引入行為檢測技術,分析設備使用行為,識別異常活動。
- 資安報告:定期產生並審查內部裝置的資安狀況報告。
- 資料外洩防護(DLP):佈署資料外洩防護系統,防止機敏資料未授權的外洩。
- 漏洞掃描:定期進行設備和網路的漏洞掃描,識別並修復潛在的安全漏洞。
- 變更管理:實行嚴格的變更管理流程,確保所有設備更新和設定變更經過審批和測試。
須知
- 進階加密技術:深入了解進階加密技術如非對稱加密、公鑰基礎設施(PKI)等。
- 威脅情報:了解如何使用威脅情報來提前預警和防範網路威脅。
- 端點偵測與回應(EDR):熟悉 EDR 技術及其運用。
- 安全合規標準:了解並遵循 ISO 27001 等國際資安標準,提升組織整體安全水準。
- 分層防禦:掌握分層防禦策略,利用多層次的防護措施保護內部資產。
- 情境感知:學習使用情境感知技術,在不同環境下實施適應性資安策略。
- 資安事件回應:理解資安事件回應及管理相關流程和工具。
選用
- 硬體安全:考慮實施硬體安全模組(HSM),保護關鍵密鑰。
- 數位對映:進行數位對映(Digital Twin)建模,模擬可能的網路攻擊路徑和影響。
- 深度學習技術:探討將深度學習技術應用於威脅偵測,提升風險預測能力。
- 跨平台協同:實施跨平台的資安協同機制,統一管理不同操作系統的設備。
- 定期資安演習:進行定期資安攻擊演習,測試組織對網路攻擊的應對能力。
- 量子加密探索:研究量子加密技術的發展動態,做好未來技術升級的準備。
- 外部資安評估:諮詢外部資安專家定期進行評估,提供第三方資安檢查和改進建議。