法規名稱: | 金融機構辦理快速身分識別機制安全控管作業指引 |
---|---|
公布日期: | 民國 112 年 04 月 25 日 |
第十七點 金融 FIDO 作業環境之系統生命週期管理應符合下列要求:
一、應訂定資訊安全開發設計規範並落實執行。
二、對於委外開發的應用軟體,應執行監督並確保其有效遵循
本指引規定。
三、應確保系統軟體和應用軟體安裝最新安全修補程式。
四、對於測試用之機敏資料(如 SSL 憑證金鑰),應先進行
資料遮蔽、加密或記號化,且不應與營運環境相同。
五、於開發階段起至營運階段,應遵循變更控制程序處理並留
存相關紀錄;營運環境變更(如執行、覆核)應由二人以
上進行,以相互牽制。
六、系統軟體變更應先進行技術審查並測試;套裝軟體不應自
行異動,並應先進行風險評估。程式不應由開發人員自行
換版或產製比對報表,應建立程式原始碼管理機制,以符
合職務分工與牽制原則。