(樣本)🔔【 系統開發人員應辦事項】檢核表
依教育機構資安驗證中心「各校以全機關為範圍導入ISMS應優先落實的執行策略」所列系統開發人員相關檢核項目
Sign in to Google to save your progress. Learn more
Email *
受稽單位(人員) *
稽核委員
 *
一、需求階段
★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★

8.3 資通系統開發前,設計安全性要求,包含機敏資料存取、用戶登入資訊檢核、用戶輸入輸出之檢查過濾等,且檢討執行情形?

Clear selection

7.22 針對資訊之交換,建立適當之交換程序及安全保護措施,以確保資訊之完整性及機密性?針對重要資料的交換過程,保存適當之監控紀錄?

Clear selection

7.16 資通系統重要組態設定檔案及其他具保護需求之資訊是否加密或其他適當方式儲存(如實體隔離、專用電腦作業環境、資料加密等)?針對系統與資料傳輸之機密性與完整性建立適當之防護措施?

Clear selection

7.17 使用預設密碼登入資通系統時,於登入後要求立即變更密碼,並限制使用弱密碼

Clear selection
7.10 建立電子資料安全管理機制(含防疫個資),包含分級規則(如機密性、敏感性及一般性等)、存取權限、資料安全、人員管理及處理規範等,且落實執行?
Clear selection
9.12  訂定應記錄之特定資通系統事件(如身分驗證失敗、存取資源失敗、重要行為、重要資料異動、功能錯誤及管理者行為等)、日誌內容記錄時間週期留存政策,且保留日誌至少6個月
Clear selection
9.13  依日誌儲存需求,配置所需之儲存容量,並於日誌處理失效時採取適當行動及提出告警
Clear selection
9.14  針對日誌之存取控管,並有適當之保護控制措施
Clear selection
二、設計階段
★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★

8.4 資通系統設計階段,依系統功能及要求,識別可能影響系統之威脅,進行風險分析及評估?

Clear selection
三、開發階段
★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★

8.5 資通系統開發階段,避免常見漏洞(如OWASP Top 10等)?且針對防護需求等級者,執行源碼掃描安全檢測?

Clear selection
四、測試階段
★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★

8.6 資通系統測試階段,執行弱點掃描安全檢測?且針對防護需求等級者,執行滲透測試安全檢測?

Clear selection
五、部署階段
★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★
8.7  資通系統上線或更版前,執行安全性要求測試,包含邏輯及安全性驗測機敏資料存取用戶登入資訊檢核用戶輸入輸出之檢查過濾測試等,且檢討執行情形?
Clear selection
8.12  針對資通系統使用之外部元件或軟體,注意其安全漏洞通告且定期評估更新
Clear selection
7.11  建立網路服務安全控制措施且定期檢討?定期檢測網路運作環境之安全漏洞?
  • 此項僅需稽核計資中心
Clear selection

7.12 設定防火牆並定期檢視防火牆規則,有效掌握與管理防火牆連線部署?

Clear selection
六、跨階段措施
★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★
8.9  將開發、測試及正式作業環境區隔,不同作業環境建立適當之資安保護措施?
Clear selection
8.11  測試如使用正式作業環境之測試資料,建立保護措施且留存相關作業記錄
Clear selection
8.10  儲存及管理資通系統發展相關文件?儲存方式及管理方式為何?
Clear selection
A copy of your responses will be emailed to the address you provided.
Submit
Clear form
Never submit passwords through Google Forms.
reCAPTCHA
PrivacyTerms
This form was created inside of 國立中興大學. Report Abuse
Google Forms