網路使用行為資安政策
資訊安全政策範本分為基礎版與進階版,各版本分別再分為四個等級類型,請衡量組織的狀況作適當的調整。
等級說明
| 等級 | 說明 |
|---|---|
| 優先 | 需優先且必須達成的項目。 |
| 建議 | 完成或達成該項目會更好。 |
| 須知 | 需先瞭解相關的背景知識。 |
| 選用 | 額外的建議或其他的選項。 |
基礎版本
適用於剛開始建立資訊安全政策的小型公民團體
優先
- 所有成員在連接公共 Wi-Fi 時,必須使用 VPN 確保連線安全。
- 禁止在未知或不受信任的網站上輸入個人隱私機敏訊息,如密碼、身分證號等。
- 組織內部所有網路設備(如路由器)需設定強密碼且定期更換。
- 請勿點擊任何未知或可疑的電子郵件連結及附件,以防釣魚和詐騙攻擊。
- 定期掃描並更新個人裝置上的防毒軟體,以確保設備安全。
- 所有成員應使用強密碼並啟用雙因素認證功能。
- 禁止下載和使用來自未授權或不受信任的應用程式。
建議
- 鼓勵成員定期參加資訊安全意識培訓,提升資安知識。
- 在使用社群媒體時,應謹慎分享個人及組織資訊,避免資料洩漏。
- 使用隱私模式瀏覽網頁,保護個人隱私。
- 建立定期備份資料的習慣,防範資料遺失或被加密勒索。
- 對不明來歷的電子郵件應報告給組織中的相關負責人。
- 關閉不使用的 Wi-Fi 功能及藍牙連接,以減少被攻擊的風險。
- 設定網路設備的管理界面只允許內網訪問,避免透過對外網路直接訪問。
須知
- 瞭解基本的網路安全概念,如什麼是釣魚攻擊、勒索病毒等。
- 熟悉 VPN 的基本運作原理及使用方法。
- 瞭解公眾 Wi-Fi 的安全風險及如何透過 VPN 保護自身安全。
- 熟悉常見釣魚詐騙的手法和判斷方法。
- 掌握隱匿網路足跡的方法,如清除瀏覽器記錄、使用隱私模式等。
- 瞭解如何設定及管理路由器,包括 WPA3 等加密協議設定。
- 熟悉並善用防毒軟體和網路安全工具。
選用
- 考慮使用安全的電子郵件服務提供者,提供額外的安全保護。
- 使用安全性較高的瀏覽器插件,如 uBlock origin 等工具減低釣魚詐騙風險。
- 安裝網路監控工具,即時洞察可疑網路活動。
- 使用不同的平台(如電腦、手機)時,應遵循相同的安全策略。
- 零信任原則,定時檢查並移除不必要的帳戶權限。
- 安裝並定期更新防火牆提高網路安全。
- 利用密碼管理器,安全地儲存和管理多個密碼。
進階版本
適用於已有一定資訊安全政策基礎且規模較大的公民團體
優先
- 強制所有成員必須使用有端對端加密技術的 VPN 服務。
- 每月定期進行自我學習、內部培訓,確保成員了解最新的釣魚攻擊手法。
- 組織需實施安全漏洞定期掃描和更新管理。
- 所有成員必須定期更換其所有帳號的密碼,且不能重複使用舊密碼。
- 禁止在公用電腦及公共網路(如網咖)使用組織帳號登入。
- 將多因素認證作為所有重要平台及服務的基本安全要求。
- 關鍵資料傳輸時,要求使用加密技術(如 SSL/TLS)。
建議
- 針對高風險活動(如金融交易、機敏資料訪問、關鍵人聯絡),要求進行額外的安全檢查。
- 購買授權的網路安全軟體及工具,以提供更高水準的保護。
- 組織內部常用網頁瀏覽與服務,應有白名單管理與定期審查機制。
- 所有設備禁止安裝在不信任網路環境下運行的應用程序。
- 督促成員使用個人管理平台來整理和備份機密及重要資料。
- 定期舉辦模擬釣魚測試,以驗證成員的防範意識。
- 使用網域名稱系統(DNS)保護服務,以防範 DNS 欺詐攻擊。
須知
- 詳細瞭解並能解釋 VPN 的加密及隱私保護機制。
- 能夠識別並解釋複雜的釣魚詐騙手法及背後的技術機制。
- 瞭解 HTTPS 的重要性及如何判斷網站是否使用 HTTPS。
- 能夠獨立完成 Wi-Fi 加密設置,熟悉 WPA3 等高級加密標準。
- 能夠解釋並使用安全的密碼管理策略。
- 掌握基本網路協議安全(如 IPv6、DNSSEC等)的工作原理。
- 瞭解網路安全事故處理流程及應急預案。
選用
- 定期審核組織內部安全政策,確保其隨技術變化而更新。
- 推動建立網上隱私及數據保護標準,同步全球最佳實踐。
- 引入流程自動化工具,如 SIEM,提高網路安全管理效能。
- 建議成員學習並獲取相關的資訊安全認證(例如 CISSP)。
- 使用行為分析工具監控異常使用行為,及時應對風險。
- 內部網站及服務,實施零信任網路原則,確保每次訪問都需要身分驗證。
- 開展網路安全前瞻性研究,探索並應用最新的安全技術。