法規名稱: | 金融機構辦理快速身分識別機制安全控管作業指引 |
---|---|
公布日期: | 民國 112 年 04 月 25 日 |
第十五點 金融 FIDO 作業環境之脆弱性管理應符合下列要求:
一、應偵測網頁與程式異動,紀錄並通知相關人員處理。
二、應偵測惡意網站連結並定期更新惡意網站清單。
三、應建立入侵偵測或入侵防禦機制並定期更新惡意程式行為
特徵。
四、應建立病毒偵測機制並定期更新病毒碼。
五、應建立上網管制措施,限制連結非業務相關網站,以避免
下載惡意程式。
六、應隨時掌握資安事件,針對高風險或重要項目立即進行清
查與應變。
七、應針對系統維運人員定期執行電子郵件社交工程演練與教
育訓練,至少每年一次。
八、每季應進行弱點掃描,並針對其掃描或測試結果進行風險
評估,針對不同風險訂定適當措施及完成時間,填寫評估
結果與處理情形,採取適當措施並確保作業系統及軟體安
裝經測試且無弱點顧慮之安全修補程式。
九、應避免採用已停止弱點修補或更新之系統軟體與應用軟體
,如有必要應採用必要防護措施。
十、金融 FIDO 平臺上線前及每半年應針對異動程式進行程式
碼掃描或黑箱測試,並針對其掃描或測試結果進行風險評
估,針對不同風險訂定適當措施及完成時間,執行矯正、
紀錄處理情形並追蹤改善。
十一、金融 FIDO 平臺每年應執行滲透測試,以加強資訊安全
。