本次修法把許多中級的下放到普級。也有少部份高下放到中、新增項目等等。
| 防護等級 | 構面 | 控制措施 | 變更內容(新增 / 刪除 / 調整) |
| 🟢 普級 | 存取控制 | 帳號管理 | 已逾期之臨時或緊急帳號應刪除或禁用 |
| 🟢 普級 | 存取控制 | 帳號管理 | 資通系統閒置帳號應禁用 |
| 🟢 普級 | 存取控制 | 帳號管理 | 定期審核資通系統帳號之申請、建立、修改、啟用、停用及刪除 |
| 🟢 普級 | 存取控制 | 最小權限 | 採最小權限原則,僅允許使用者(或代表使用者行為之程序)依機關任務及業務功能,完成指派任務所需之授權存取 |
| 🟢 普級 | 存取控制 | 遠端存取 | 遠端存取之來源應為機關已預先定義及管理之存取控制點 |
| 🟢 普級 | 事件日誌與可歸責性 | 時戳及校時 | 系統內部時鐘應定期與基準時間源進行同步 |
| 🟢 普級 | 營運持續計畫 | 系統備援 | 訂定資通系統從中斷後至重新恢復服務之最大可容忍中斷時間要求 |
| 🟢 普級 | 系統與服務獲得 | 獲得程序 | 識別資通系統使用之第三方軟體、服務、函式庫或其他元件 |
| 🟢 普級 | 系統與資訊完整性 | 軟體及資訊完整性 | 使用者輸入資料合法性檢查應置放於應用系統伺服器端 |
沒有留言:
張貼留言