10.13 应用系统的防护基准 - 其他(除旧布新)

适用人员: 技术人员(开发人员)。
适用法规: 资通安全责任等级分级办法 - 附表十资通系统防护基准.PDF

技术面分类提要

• 网路架构的检视
• 端点的安全防护
• 应用开发的防护基准
  • 开发过程的程序与记录
  • 传输与资料的加密与保护
  • 帐号管理与存取权限
  • 委外注意事项
  • 其他(除旧布新)

本篇与「端点防护软件 - 其他注意事项(除旧布新) 」内容大同小异，各种管理机制的生命周期同样要套用在应用系统上，包含软硬体皆需定期汰旧更新。

• 应用系统所使用到的元件套件定期更新。
• 不使用有安全疑虑、安全性低的第三方套件。
• 旧系统於新系统上线後应下线。并确保旧资料已删除
• 帐号的有效性管理。特别於人员异动时记得删除
• 清查与盘点。包含安全性的检测如源码扫描、主机、网页弱点扫描。还有定期盘点资通系统、防护措施实施情况，这点在之後会再介绍。