資訊安全評估
查核(檢視)項目

1. 資訊架構檢視

1. 檢視網路架構之配置、資訊設備安全管理規則之妥適性等，以評估可能之風險，採取必要因應措施。
2. 檢視單點故障最大衝擊與風險承擔能力。
3. 檢視對於持續營運所採取相關措施之妥適性。

1. 資安顧問服務 (ISO 27001, CISSP, CEH)
2. 資安顧問服務 (ISO 27001, CISSP, CEH)
3. 資安顧問服務 (ISO 27001, CISSP, CEH)

•   優化資安機制：WAF

2. 網路活動檢視

1. 視網路設備、伺服器之存取紀錄及帳號權限，識別異常紀錄與確認警示機制。
2. 檢視資安設備(如：防火牆、入侵偵測系統、防毒軟體、資料外洩防護等)之監控紀錄，識別異常紀錄與確認警示機制。
3. 檢視網路封包是否存在異常連線或異常網域名稱解析伺服器(Domain Name System Server , DNS Server)查詢，並比對是否為已知惡意IP、中繼站或有符合網路惡意行為的特徵。

1. 資安顧問服務 或 LM 稽核紀錄, SIEM/SOC 關聯分析機制  
2. 資安顧問服務 或 LM 稽核紀錄, SIEM/SOC 關聯分析機制
3. 資安顧問服務 或 LM 稽核紀錄, SIEM/SOC 關聯分析機制＋ APT 惡意流量檢測機制

•  優化資安機制：  LM, SIEM, WAF, APT, DLP

3. 網路設備、伺服器及終端機等設備檢測

1. 辦理網路設備、伺服器及終端機的弱點掃描與修補作業。
2. 檢測終端機及伺服器是否存在惡意程式，包括具惡意行為之可疑程式、有不明連線之可疑後門程式、植入一個或多個重要系統程式之可疑函式庫、非必要之不明系統服務、具隱匿性之不明程式及駭客工具等。
3. 檢測系統帳號登入密碼複雜度；檢視外部連接密碼(如檔案傳輸(File Transfer Protocol, FTP)連線、資料庫連線等)之儲存保護機制與存取控制。

1. 資安顧問服務＋弱點掃描機制＋弱點管理機制
2. 資安顧問服務＋ APT 惡意程式分析
3. 資安顧問服務

• 優化資安機制：弱點案件管理系統(VMS) 、弱點掃描工具 、日誌管理與即時異常分析(SIEM)，APT 惡意程式分析與防護

4. 網站安全檢測

1. 針對網站進行滲透測試。
2. 針對網站及客戶端軟體進行弱點掃描、程式原始碼掃描或黑箱測試。
3. 檢視網站目錄及網頁之存取權限。
4. 檢視系統是否有授權連線遭挾持、大量未驗證連線耗用資源、資料庫死結(deadlock)、CPU異常耗用、不安全例外處理及不安全資料庫查詢命令(包括無限制條件及無限制筆數)等情況。

1. 資安顧問服務＋滲透測試服務
2. 資安顧問服務＋弱點掃描服務＋源碼檢測（白箱工具）＋網頁弱點檢測（黑箱工具）
3. 資安顧問服務 或 檔案權限稽核工具
4. 資安顧問服務 或 資料庫稽核工具

• 優化資安機制：弱點案件管理系統(VMS) 、滲透測試工具、源碼檢測工具（白箱工具）、弱點掃描工具、網頁弱點(黑箱)檢測工具（HP, Acunetix）、DAM 資料庫稽核工具

5 .安全設定檢視

1. 檢視伺服器(如網域服務Active Directory)有關「密碼設定原則」與「帳號鎖定原則」設定。
2. 檢視防火牆是否開啟具有安全性風險的通訊埠或非必要通訊埠，連線設定是否有安全性弱點。
3. 檢視系統存取限制(如存取控制清單Access Control List)及特權帳號管理。
4. 檢視作業系統、防毒軟體、辦公軟體及應用軟體等之更新設定及更新狀態。
5. 檢視金鑰之儲存保護機制與存取控制。

1. 資安顧問服務
2. 資安顧問服務＋防火牆政策檢視機制
3. 資安顧問服務 或 檔案權限稽核工具
4. 資安顧問服務
5. 資安顧問服務

• 優化資安機制：檔案權限稽核工具

6. 合規檢視

1. 檢視整體電腦系統是否符合「金融機構資訊系統安全基準」有關提升系統可靠性<技1~技25>及安全性侵害之對策<技26~ 技51>之規範。
2. 視電子銀行相關系統是否符合「金融機構辦理電子銀行業務安全控管作業基準」之規範。

1. 資安顧問服務 
2. 資安顧問服務

每年應至少 一次針對使用電腦系統人員，於安全監控範圍內，寄發演練郵件，加強資通安全教育，以期防範惡意程式透過社交方式入侵。

• 優化資安機制：電子郵件社交工程演練、弱點案件管理系統(VMS)