1
【題目分類:識別能力 / 資產管理】定義處理受管制的非機密資訊 (controlled unclassified information, CUI)的處理過程
- 有提供辨識敏感資料的標籤或指導文件
- 將敏感資料放置在可管理的環境(如:放在指定的系統或檔案夾中)
- 有設置存取控制方法,阻止未授權的個人存取
- 具備機制保護資料的機密性(如:傳輸過程中保護資料)
2
【題目分類:識別能力 / 資產管理】利用某些特性(例如,韌體等級,作業系統類型)來識別庫存中的元件屬性,以便在發生漏洞時快速識別並找出問題發生點,如此可將修補程式快速部署或進行網路隔離
- 有執行軟體版本盤點的報告
- 有SOP來執行修補程式安裝
3
【題目分類:識別能力 / 風險管理】定期執行風險評估,以根據定義的風險類別、風險來源和風險衡量標準確定風險,以及優先等級。
-
有根據發生事件嚴重性和影響性(Impact)來定義風險
-
有定義組織功能和所需的 IT 資產
-
有定義組織可能面臨的威脅
-
有分析威脅以確定發生的可能性
-
有定期為 CIO 準備風險評估報告
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
4
【題目分類:識別能力 / 風險管理】分類並定期更新威脅剖繪(Profiles)和駭客的戰術、技術、流程(TTP)。
-
有定期更新駭客威脅概況(駭客工具、技術和流程)
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
有註冊威脅情報服務
-
有持續累積威脅配置文件或知識庫
5
【題目分類:識別能力 / 風險管理】將威脅情資整合到整個系統開發生命週期(包含:定義系統安全要求、開發系統和安全架構、選擇安全解決方案、監控和修補工作)的風險管理流程之中,並為系統提供資訊。
- 團隊有使用威脅文件(TTP)為組織規劃網路防禦
- 安全監測團隊也使用威脅文件(TTP)來保護組織
6
【題目分類:識別能力 / 風險管理】對組織的Internet 或其他網路連線的跨網閘道器上執行掃描,以發現可存取的「未授權」網路端口。
-
定期掃描各個網段邊界的資產
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
有記錄網路邊界安全配置狀態
-
有驗證網路邊界組態配置的正確性
7
【題目分類:識別能力 / 風險管理】制定並實施風險緩解計劃。
- 有風險緩解計畫報告
- 風險緩解計畫有談到如何減少漏洞或威脅
- 避免風險暴露的措施
- 要新增或實施的控制措施
- 負責緩解計劃的人員
- 計劃所需的資源
- 實施細節(如:何時、何地、如何)
- 衡量或追蹤計劃的實施
8
【題目分類:識別能力 / 風險管理】分開管理不受供應商支持的產品(例如,壽命終止),並根據需要進行限制以降低風險。
- 有掌握已End of Service產品的風險破口
- 有在組織的網路中隔離End of Service的產品
- 有規劃End of Service的產品執行升級、更換或報廢的時程
9
【題目分類:識別能力 / 風險管理】針對非白名單的軟體採用例外處理,該處理方法還包含緩解措施。
- 組織有軟體白名單列表
- 有軟體白名單檢查機制
- 當有使用到例外軟體時,有異常流程管理機制
10
【題目分類:識別能力 / 風險管理】至少每年一次分析資安解決方案的有效性,並且基於當前和累積的威脅情資來解決對系統和組織的預期風險。
-
定期針對資安解決方案進行有效性評估
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
根據新獲得的威脅情報評估組織防禦能力
-
資安配置的更改有納入SOP和改善的時間表
11
【題目分類:識別能力 / 風險管理】根據企業需要制定和更新供應鏈風險管理計劃,以管理與IT供應鏈相關的資安風險。
-
有制定並定期更新IT供應鏈管理計畫
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
有辨識和評估供應商的風險
-
有確定適當的供應鏈風險緩解措施
-
有定期監控供應鏈風險管理績效
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
12
【題目分類:識別能力 / 資安評估】建立、維護和利用資安策略和藍圖來改善組織的資通安全。
- 有短期( 6-12 個月內)資安發展藍圖
- 有中期(12-36個月內)資安發展藍圖
- 有長期(5-10年內)資安發展藍圖
- 資安發展藍圖每年都有保留預算執行
13
【題目分類:識別能力 / 資安評估】持續監控安全控制措施,以確保控制措施的持續有效性。
-
定期評估每個控制措施
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
定期舉行會議評估控制措施缺口與風險
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
第三方安全評估員進行評估
14
【題目分類:識別能力 / 資安評估】定期進行滲透測試,並利用自動掃描工具和專人測試。
-
有定期執行滲透測試
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
有專門執行滲透測試團隊
15
【題目分類:識別能力 / 資安評估】定期對組織資產進行紅隊演練,以驗證防禦能力。
-
有定期執行紅隊測試
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
16
【題目分類:識別能力 / 資安評估】針對內部開發、內部使用的企業軟體進行資安評估,並在組織上將其定義為風險領域。
- 組織軟體都有執行程式碼審查
- 每個軟體更新都有執行程式碼審查
17
【題目分類:識別能力 / 風險管理】組織可定期對組織營運(包含:任務,職能,形像或聲譽),組織資產和個人進行風險評估。特別是涉及企業資料處理、儲存或傳輸,以及組織營運的系統、資產與個人
-
有定期執行風險評估的作業流程(如:定義範圍、進行落差分析、實施教育訓練等)
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
有定義核心資產、資訊分級標準
-
有定期執行資產或清查
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
有根據風險分級標準,對每項資產/資訊定義其風險值
-
有定期修正組織正式風險評估文件
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
18
【題目分類:識別能力 / 風險管理】組織可定期掃描組織系統和應用程式中的漏洞,並且也會在發現影響這些系統和應用程式的新漏洞時進行掃描
-
針對連網資產有定期產出漏洞掃描報告
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
每次執行掃描時,所使用的工具為最新版本
-
有新漏洞發生時,有不定期的掃描報告
19
【題目分類:識別能力 / 風險管理】組織可根據風險評估補救漏洞
- 審閱漏洞評估的優先排序列表
- 制定具有優先順序的緩解計劃
- 確實修補高風險漏洞,並持續追蹤尚未修補的漏洞
20
【題目分類:識別能力 / 資安評估】組織可制定、記錄並定期更新系統安全計劃,這些計劃描述系統邊界、系統運行環境、安全要求的實現方式,以及與其他系統的關係,或與其他系統的連接
-
有制定組織如何實施安全要求之文件
-
概述安全人員的角色、職責
-
概述組織的權責與聯繫網路
-
有描述深度防禦策略、允許的Port和網路協定
-
系統安全計劃文件有定期更新
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
21
【題目分類:識別能力 / 資安評估】組織可定期評估組織系統中的安全控制,以確定這些控制在其應用中是否有效。(註:安全控制如:防火牆、網段隔離、防毒…等)
-
記錄安全控制評估結果
-
定期更新現有方案,或提出新方案
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
制定修復計劃
-
記錄新發現的風險
22
【題目分類:識別能力 / 資安評估】組織可制定並實施行動計劃,以糾正資安缺陷,並減少或消除組織系統中漏洞
- 定義特定人負責確保計劃的執行,以及計劃的責任歸屬
- 定義明確且可行的步驟或里程碑
- 為每個步驟或里程碑分配責任
- 衡量計劃里程碑的進度
- 完成日期
23
【題目分類:回應能力 / 事件通報】運用駭客的技術和手法等相關背景知識,規劃事件通報執行作法
- 組織有註冊參與產業情資共享資訊中心( ISAC)
- 有定期收到產業相關的防禦報告
- 使用各種情資來改進組織的事件回應計劃
24
【題目分類:回應能力 / 事件通報】網路事件發生時,應收集系統上的事件證據,並確保鑑識資料的安全
- 有使用中央日誌收集工具,配置到組織的所有端點設備
- 當偵測到可疑活動時,SOC可存取安裝在端點程式進行取證
25
【題目分類:回應能力 / 事件通報】應追蹤和記錄事件,並向組織內部和外部的指定人員或當局報告事件內容
- 當發現異常活動時,有建立事件通報流程
- 資安事件處理者會調查、收集並記錄初步發現
- 當確認事件發生有建立一個團隊來管理事件
26
【題目分類:回應能力 / 事件通報】建立和維護有24/7安全性監視功能的安全中心
- 組織有自建或委外的SOC中心
- 組織有專門的SOC團隊
- SOC與事件回應團隊有建議直接溝通管道
27
【題目分類:回應能力 / 事件通報】需要建立手動的、自動的或是混合模式的即時惡意行為偵測模型
- 組織有預先定義駭客攻擊劇本(如:MITRE ATT&CK)
28
【題目分類:回應能力 / 事件通報】建立並維護一個可以在24小時內,並且在任何地點進行實體或虛擬調查的網路事件通報團隊
- 有一組人員可以在 24小時內回應安全事件
- 該團隊組成跨不同職能,包含:事件調查、IT技術、系統管理和實體安全等人員
29
【題目分類:回應能力 / 事件通報】測試組織事件通報的能力
- 組織有測試事件回應能力的記錄
- 組織有驗證現有的回應計劃是否有效
30
【題目分類:回應能力 / 事件通報】應進行演習訓練,以確保技術和流程上的通報反應
- 資訊長有不定期授權紅隊進行演練
- 組織有自己或合作夥伴有紅隊演練規劃能力
- 組織有團隊負責詳細記錄每個環節的測試資訊
- 資安長或資訊長會針對演練結果作為未來的回應流程修改依據
31
【題目分類:回應能力 / 事件通報】組織可建立組織系統內事件處理的能力,包括準備、檢測、分析、遏制、修復和回報
- 確定在事件中IT人員需要聯繫的內部、外部人員
- 建立通報事件的方式(如:電子郵件或電話號碼)
- 導入軟體來分析確定發生事件的證據地點和方式
- 分析以決定要採取的措施
- 斷開網路連接;和更改防火牆設置
- 恢復備份資料;和重新安裝軟體
- 與警察聯繫、更新政策、吸取經驗教訓
32
【題目分類:回應能力 / 事件通報】組織可偵測和回報事件
- 主動追蹤網路資安事件
- 主動蒐集內部員工的異常通報
- 針對事件分析與評估,並將結果通報給需要採取減災行動的人員
33
【題目分類:回應能力 / 事件通報】組織可分析與分類資安事件,以便於支持事件宣告和提供通報方案
- 可分析事件類型和影響程度
- 可判斷事件是否與其他事件相關
- 可定義事件優先級劃分
- 可針對不同優先順序給予通報方案
34
【題目分類:回應能力 / 事件通報】組織可根據事先定義好的程序,建立並實施應變措施
- 應變流程含停止或控制損壞方法(如:透過系統斷線)
- 應變流程含與使用者溝通方法(如:將可疑電子郵件通知公司員工)
- 應變流程含與利益關係人溝通(如:公司管理政策)
- 應變流程含實施控制措施(如:更新存取控制列表;收到惡意郵件應如何處理)
35
【題目分類:回應能力 / 事件通報】組織可對異常事件進行分析,以確定事件發生的根本原因
- 有查看管理流程、防護技術和實體控制方面的弱點
- 有使用因果圖執行根因分析
36
【題目分類:防護能力 / 存取控制】在適用的受管制的資料規則中,提供一致的隱私和安全聲明。
- 有制定使用系統的法律聲明
- 使用者每次登錄都需要點擊「同意」系統安全和隱私要求
37
【題目分類:防護能力 / 存取控制】限制在外部系統上使用可攜帶式儲存裝置。
- 有制定政策來管理可攜式設備的使用
- 運用技術手段,只有身分識別後的裝置可運作
38
【題目分類:防護能力 / 存取控制】限制登入失敗嘗試次數
- 連續輸入錯誤密碼,帳號會被鎖定
39
【題目分類:防護能力 / 存取控制】為了防止閒置一段時間的系統資訊洩漏,請使用資訊隱藏並將 session 鎖定
- 使用者可以啟用Session locks鎖定螢幕
- 系統可預設時間後自動啟用Session locks(如:1-5分鐘)
40
【題目分類:防護能力 / 存取控制】在允許進行此類連線之前,請先授權無線存取權限
- 有無線網路的使用政策
- 只允許經過公司資安配置設定過的設備連接
- 連接無線網路之前都需要經過授權
41
【題目分類:防護能力 / 存取控制】將人員的職責分開,以減少共謀的惡意活動風險
- 開發團隊不進行測試,測試團隊不進行開發
- 同一個員工不應兼任安全測試與稽核
42
【題目分類:防護能力 / 存取控制】防止使用者執行超出權限範圍內的功能,並在審核日誌中捕捉此類的執行記錄
- 有安全措施來防止非特權用戶執行特權活動
- 監控系統可記錄非特權用戶使用管理者權限的狀況
43
【題目分類:防護能力 / 存取控制】在定義的條件後終止(自動)使用者session
- 在不活動後會終止所有使用者的Session連線任務
- 當Session即將超時,系統會透過告警提示用戶
- Session超時發生時,用戶必須重新登錄
44
【題目分類:防護能力 / 存取控制】使用身份驗證和加密保護無線存取(wireless access)
- 存取無線AP設備時會進行身分驗證
- 無線存取採用加密保護
45
【題目分類:防護能力 / 存取控制】控制安全網域與系統連結時的資訊流動
- 每個辦事處網路設計具有兩個區域,其中一個為處理敏感資料的專屬區域
- 存取敏感資料之前須經過身分認證
46
【題目分類:防護能力 / 存取控制】定期檢查和更新受管制的資料程式存取的權限
-
有定期審查和更新存取控制清單
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
47
【題目分類:防護能力 / 存取控制】識別並減輕與未識別的無線存取點(wireless access points)連接的網路相關風險。
- 有使用無線網路入侵檢測,並發送警報
- 有使用網路拓樸圖和工具來確定未識別的裝置位置
48
【題目分類:防護能力 / 存取控制】對遠端存取session進行監控與控制
- 有使用VPN來進行遠端連線
- VPN連線有自動監控確保符合組織政策
49
【題目分類:防護能力 / 存取控制】透過受管理的存取控制點進行路由遠端存取
- 允許可視化進入網路的流量
- 統一監控以簡化網路管理
50
【題目分類:防護能力 / 存取控制】採用加密機制來保護遠端存取session的機密性
- 建立基於TLS 的VPN機制
51
【題目分類:防護能力 / 存取控制】應記錄哪些帳戶和功能是允許被遠端操作與執行的
- 強制限制特定人員才可遠端執行特權指令以及他們可以執行哪些特權命令
- 強制限制遠端執行特權指令,只能是部分特定功能
52
【題目分類:防護能力 / 存取控制】根據組織定義的風險因素,來限制遠端網路存取。例如一天中的時間、存取位置、實體位置、網路連線狀態,以及當前已測量屬性的使用者和角色身份
- 有定義管理遠端網路存取需考量哪些風險因素
- 申請者在公司的風險容許範圍內才授權遠端存取
53
【題目分類:防護能力 / 存取控制】在行動裝置和行動運算平台上請使用加密的受管制資料
- 有解決方案可保護行動設備的資料機密性
54
【題目分類:防護能力 / 資安意識與訓練】提供人員識別和回報潛在內部威脅指標的安全意識訓練
- 針對特定角色(如:主管)定制內部威脅指標培訓課程
55
【題目分類:防護能力 / 資安意識與訓練】提供人員安全意識訓練課程,將重點放在如何識別和應對社交工程的威脅(social engineering)、進階持續性威脅(advanced persistent threat actors)、安全漏洞以及可疑的行為; 並且至少每年一次或威脅發生重大變化時更新訓練課程內容
-
有提供培訓材料,使企業研發人員對社交工程攻擊有感
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
有提供進階持續性威脅(advanced persistent threat actors)教學
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
有提供網路安全衛生教學
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
56
【題目分類:防護能力 / 資安意識與訓練】在安全意識訓練中,應進行與現有威脅情境相似的實際演練,並且提供回饋給參與訓練的人員
-
有定期提供針對式網路釣魚演練(如:軟體開發者/管理者)
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
演練結束後有提供識別威脅指引
57
【題目分類:防護能力 / 配置管理】應監控使用者所安裝的軟體
- 將安裝的軟體限制為組織核可才批准
- 有使用管理流程或自動化方法管理使用者安裝的軟體
58
【題目分類:防護能力 / 配置管理】追蹤、查看、核准或不核准等配置變更記錄皆應記錄在組織系統中
-
有定期召開系統組態變更設定討論會議
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
管理團隊和技術團隊主管共同參與討論
59
【題目分類:防護能力 / 配置管理】在實際變更配置前,應分析變更後會帶來的安全性影響
- 變更設定前會研析安全衝擊評估報告
- 有技術團隊會審閱報告,並提供建議
- 經由管理層核可後才變更
60
【題目分類:防護能力 / 配置管理】組織認可的系統,應採用應用程式白名單和應用程式審查保護
- 軟體進入到白名單之前會先驗證
- 重要端點上有安裝應用程式白名單方案
61
【題目分類:防護能力 / 配置管理】配置時,應驗證組織所定義的安全關鍵評估或必要軟體的完整性和正確性(例如,信任基礎(roots of trust)、正式驗證(formal verification)或加密簽章(cryptographic signatures))
- 重要伺服器有使用安全晶片進行安全啟動驗證
- 重要終端設備,經IT人員配置為安全啟動後才將設備提供給員工
62
【題目分類:防護能力 / 身份驗證】允許使用臨時密碼登錄系統,並立即將此密碼更改為永久密碼
- 使用者第一次登錄時必須更改他們的臨時密碼
63
【題目分類:防護能力 / 身份驗證】禁止在規定的時間內設定重複的密碼
- 有限制個人使用重複密碼的頻率
- 有限制個人使用最少單位的前密碼
64
【題目分類:防護能力 / 身份驗證】所有密碼在儲存和傳遞時,都必須以加密方式進行保護
- 密碼儲存和傳輸會採用加密處理
65
【題目分類:防護能力 / 身份驗證】將身份驗證資訊時的反饋資訊模糊化
- 當用戶輸入密碼時,系統會顯示符號
- 較小的設備只會在模糊之前極短時間顯示字符
66
【題目分類:防護能力 / 身份驗證】本地端與網路連線時,應使用多因子身份驗證(multifactor authentication)
- 針對特權用戶使用多因素身份驗證 (MFA)
- 所有使用者啟動遠端存取時都採用多因素身份驗證 (MFA)
67*
【題目分類:防護能力 / 身份驗證】任何帳戶權限在進行網路連線存取時,皆應採用可以對抗重送的身份驗證機制(replay-resistant authentication mechanisms)
- 啟用傳輸層安全性 (TLS) 以存取公司 IT 服務
- 使用公鑰基礎設施 (PKI) 或一次性密碼 (OTP) 來保護員工登錄
68
【題目分類:防護能力 / 身份驗證】應防止在規定的時間之外重複使用相同的認證資訊
- 避免在AD伺服器中將以前的帳戶分配給新用戶
69
【題目分類:防護能力 / 身份驗證】在超過組織規定之閒置時間後,應禁止閒置標識符號(如:員編、email帳號等)認證資訊繼續使用
-
定期盤點任何閒置帳戶
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
刪除過去 45 天內未使用的任何帳戶
70
【題目分類:防護能力 / 資安維護】在組織系統上執行維護管理
-
定期糾正性維護(如:修復技術問題)
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
定期預防性維護(如:更新以防止潛在問題)
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
定期適應性維護(如:操作環境的變化)
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
定期完善性維護(如:改進操作)
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
71
【題目分類:防護能力 / 資安維護】會對用來進行系統維護的工具、技術、機制和人員進行管制
- 有保護系統維護工具的機制(如:存取控制)
- 進行系統維護的流程都需要獲得批准
- 有監視維護的人員的機制
72
【題目分類:防護能力 / 資安維護】透過外部網路連接時,需要使用多重要素驗證(multifactor authentication)來建立非本地端維護連線,並在非本地端維護完成時終止此類連接。
- 遠端維護必須使用多因子身份驗證
- 當完成遠端維護時立即關閉連線
73
【題目分類:防護能力 / 資安維護】應監督執行維護活動的每個人員
- 供應商執行維護活動時只提供臨時授權
- 授權將在維護活動結束後失效
- 員工會全程監督供應商的維護活動
74
【題目分類:防護能力 / 資安維護】確保清除用於非現場維護的設備中存在任何受管制資料。
- 存有機敏資料之機器進行非現場維修時會使用工具消除資料
75
【題目分類:防護能力 / 資安維護】在組織系統使用某個媒體前,須先通過惡意程式的診斷和測試
- 任何非授權的軟體在安裝之前須執行掃描
76
【題目分類:防護能力 / 媒體防護】所有媒體(例如USB、CD、DVD、硬體驅動程式或文件)皆應標記是否含有受管制的資料
- 存有管制資料的所有媒體都有標記
77
【題目分類:防護能力 / 媒體防護】保護含有受管制的資料,包含:紙本與數位版本的受管制資料。
- 實體儲存媒介有放在安全位置
- 數位儲存媒介有放在安全位置
- 實體安全區有存取控制機制
78
【題目分類:防護能力 / 媒體防護】將受管制資訊的存取權限,限制為僅允許授權用戶
- 只有特權員工才能存取實體儲存安全區
- 所有存取儲存媒介的人都可記錄追蹤完整借閱和歸還流程
79
【題目分類:防護能力 / 媒體防護】追蹤並管制可移動媒體的使用,並確保其正確地使用和抛棄
- 有可攜式媒體的管制政策(如:USB)
- 使用之前必須進行惡意程式掃描
- 有追蹤公司的可攜式媒體流向
80
【題目分類:防護能力 / 媒體防護】若無法識別擁有者,則禁止使用可攜式儲存設備
- 禁止使用未知所有者的可攜式設備
81
【題目分類:防護能力 / 媒體防護】在進行報廢或重複使用之前,得先清除含有的受管制資料
- 如果想重新使用設備,則清除資訊
- 如果想報廢則毀壞設備,使其無法讀取
82
【題目分類:防護能力 / 媒體防護】管制存取含有受管制資料的媒體,並且在受控區域外傳輸的過程中應建立有效機制,以防止對受管制資料的未授權存取
- 使用防篡改包裝進行運送或傳遞
- 採用追蹤編號來監控傳遞進度
83
【題目分類:防護能力 / 媒體防護】使用加密機制以保護在傳輸過程中儲存在數位媒體上的受管制資料的機密性,除非另外有其他物理保護措施的保護。
- 傳輸備份時加密備份的資料
- 加密方案不可行時有替代方案
84
【題目分類:防護能力 / 人員安全】在授權存取包含受管制資料的組織系統之前,先進行人員篩選。
- 能夠存取管制資料的人員必須經過適當的篩選流程
85
【題目分類:防護能力 / 人員安全】確保在人員操作期間和操作之後(例如:離職和轉職),皆應保護含有受管制資料的系統。
- 收回所有公司 IT 設備
- 收回所有的員工證、門禁卡和/或鑰匙
- 進行離職面談會提醒員工保密義務
- 重新使用前清除所有設備
- 刪除對所有授予的存取權限
- 禁用或關閉員工帳戶
- 儲存資料的實體空間禁止存取
86
【題目分類:防護能力 / 實體保護】限制授權人員對組織資訊系統、設備和相應操作環境的實體存取。
- 實體設施配有存取控制措施
- 有授權人員清單
87
【題目分類:防護能力 / 實體保護】護送訪客和監控訪客的活動
- 禁止訪客在無員工陪同下在組織內遊走
- 非員工必須佩戴識別證,並由員工陪同
88
【題目分類:防護能力 / 實體保護】維護實體存取的審核記錄
- 所有非員工必須在訪客區簽到,然後離開時簽出
- 員工和訪客要有記錄訪問公司設施的日誌
89
【題目分類:防護能力 / 實體保護】控管理實體存取設備
-
有管控實體存取設備的機制
-
定義檢討哪些人員才能獲得實體存取設備
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
90
【題目分類:防護能力 / 實體保護】保護和監控實體設施,並確保設施內部的基礎結構(例如電源和網路電纜)受到保護,以使訪客和員工無法任意存取它
- 每個入口和出口安裝監視器
91
【題目分類:防護能力 / 實體保護】在備用工作現場(員工家裡、第二辦公室)需執行受管制資料的保護措施。
- 每台遠端作業的電腦都安裝漏洞管理和防毒軟體保護
- 行動設備都有採用全磁碟加密
- 存取內部網路時需要 VPN連接
- 採用多因子身份驗證來驗證用戶身份
92
【題目分類:防護能力 / 系統和通訊保護】禁止協作式設備(如:電腦鏡頭、麥克風、視訊會議系統等)的遠端控制功能啟用,並向當前在該設備上的使用者提供設備使用的指示。
- 禁用設備遠端啟用鏡頭或麥克風的功能
- 運用工具員工的鏡頭或麥克風啟用遠端控制時提醒他們
93
【題目分類:防護能力 / 系統和通訊保護】使用加密的連線(sessions)來管理網路設備。
- 使用 SSH 協定管理網路設備
94*
【題目分類:防護能力 / 系統和通訊保護】當要確保公司資料的機密性時,會使用FIPS驗證過的加密技術。
- 使用專業認證的加密軟/硬工具保護重要資料
95
【題目分類:防護能力 / 系統和通訊保護】採用資安架構設計、軟體安全開發技術和系統安全工程原理,來促進組織系統資安的有效性。
-
有專責人員負責制定強化組織資安基礎架構策略
-
有資安工程設計原則文件或手冊
-
當軟硬體有更改需求,有遵守安全工程原則
-
有定期檢查軟、硬體升級需求,以便確保安全工程原則
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
96
【題目分類:防護能力 / 系統和通訊保護】將使用者功能與系統管理功能分開。
- 有將使用者功能與系統管理功能分開
- 系統管理員只能從特權帳戶執行系統管理功能
- 不允許一般用戶執行系統管理功能
97
【題目分類:防護能力 / 系統和通訊保護】防止透過共享系統資源進行未經授權和意料之外的資訊傳輸。
-
定期執行作業系統的資安強化作業
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
驗證作業系統設置的設置是正確的
98
【題目分類:防護能力 / 系統和通訊保護】預設情況下拒絕網路通訊流量,並在例外情況下允許網路通訊流量(即:預設全部拒絕、例外情況允許)。
-
在重要資料網路內,防火牆規則預設為原則禁止、例外允許
-
定期查看防火牆規則確保沒有授權的更改
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
99
【題目分類:防護能力 / 系統和通訊保護】防止遠端設備同時與組織系統建立非遠端連接,以及透過其他連接與外部網路中的資源進行通訊(即:分割通道方法)。
- 禁止分割通道
100
【題目分類:防護能力 / 系統和通訊保護】實施加密機制,以防止在傳輸過程中未經授權洩露公司資料,除非另有其他實體保護措施保護。
- 採加密方式傳輸受管制的資料
101
【題目分類:防護能力 / 系統和通訊保護】在連線(sessions)結束時或在公司定義的不活動時間之後,須終止與通訊連線(sessions)關聯的網路連接。
- 有設置閒置超時自動中斷連線
102
【題目分類:防護能力 / 系統和通訊保護】建立和管理加密金鑰,以用於組織系統中的加密部署。
- 組織有金鑰管理政策
- 有要求所有系統管理員安裝私鑰前閱讀公司金鑰管理政策
103
【題目分類:防護能力 / 系統和通訊保護】控制和監控行動碼(Mobile code)的使用。
- 在電腦、伺服器上採取Mobile Code組態控制策略
- 系統設定Mobile Code必須是受信任的來源,並且進行數位簽章認證
104
【題目分類:防護能力 / 系統和通訊保護】控制和監控網路語音(VoIP)技術的使用。
- 有設計VoIP使用限制和實施指南(如:未經許可不得使用VoIP技術)
- 驗證員工所安裝的所有VoIP軟體配置是符合公司安全政策
- 監控網路上未授權使用的VoIP狀況
105
【題目分類:防護能力 / 系統和通訊保護】保護通訊連線(communications sessions)的真實性。
- 有正確設定伺服器採用雙因子身份驗證機制
- 檢查伺服器上TLS、VPN配置是安全性
- 有Session的清除機制
106
【題目分類:防護能力 / 系統和通訊保護】保護靜態資料的機密性。
- 採用加密技術保護靜態資料
- 若不支援加密技術則透過存取簽核流程保護
107
【題目分類:防護能力 / 系統和通訊保護】在系統和資安架構中,或在組織認為適當的地方,採用實體和虛擬隔離技術。
- 有實施實體或虛擬隔離技術將重要系統隔離到單獨安全區中
108
【題目分類:防護能力 / 系統和通訊保護】隔離管理組織定義的高價值關鍵網路基礎架構設備和伺服器系統。
- 關鍵網路基礎設施與組織網路隔離開來
- 使用獨立管理通道進行裝置維護
- 只有IT管理員才能使用特定主機管理關鍵基礎設施
109
【題目分類:防護能力 / 系統和通訊保護】配置監視系統,以記錄通過組織的Internet網路邊界和組織定義的其他網路邊界的網路封包。
- 有網路封包側錄設備,並安裝在防火牆和Internet路由器之間
- 記錄進入或退出組織網路的所有流量
- 網路封包設定為至少保留三個月
110
【題目分類:防護能力 / 系統和通訊保護】強制執行Port網路埠和網路協議合規。
- 將防火牆配置為強制執行阻擋未知的網路流量
- 將IPS設備配置為監控和阻止公司不允許訪問的Internet協議的流量
111
【題目分類:防護能力 / 系統和通訊保護】實施域名系統(DNS)過濾服務。
-
有採用商用DNS過濾服務
-
定期更新已知惡意網站列表
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
112
【題目分類:防護能力 / 系統和通訊保護】實施一項政策以限制資料被外部所擁有、被公開存取的網站(例如:論壇、LinkedIn、Facebook、Twitter)上發布。
- 有禁止在公開網站上發布受管制資料的政策
113
【題目分類:防護能力 / 系統和通訊保護】利用威脅情資主動阻止DNS請求轉址到惡意網域。
- 有訂閱來自外部各種威脅情資,已更新安全機制
114*
【題目分類:防護能力 / 系統和通訊保護】採用機制來分析跨Internet網路邊界,或組織定義的其他邊界的可執行程式碼和腳本(例如:沙箱)。
- 在DMZ中安裝沙箱分析設備,檢查所有下載的可疑內容
115
【題目分類:防護能力 / 系統和通訊保護】利用URL分類服務,並利用技術來對未經組織批准的網站實施URL過濾。
-
有使用URL分類服務阻擋存取仇恨、賭博、色情或尚未分類的網站
-
Web Proxy Server有定期使用供應商所提供的URL分類數據庫進行更新
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
116
【題目分類:防護能力 / 系統和通訊保護】除市售解決方案外,還採用組織定義和量身訂做的邊界保護。
- 有自主開發和測試入侵偵測規則來監控和阻止惡意攻擊
- 有自主開發自動化程式來提醒組織零日漏洞更新
117
【題目分類:防護能力 / 系統和資訊完整性】持續監視組織系統的外部情資,包含:安全告警和建議等,並採取相應措施。
-
有定期接收來自外部ISAC的資安情資
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
118
【題目分類:防護能力 / 系統和資訊完整性】使用與受保護資訊和系統相關的威脅指標資訊,以及從外部組織獲得的有效緩解措施來為入侵偵測和威脅狩獵提供資訊。
-
團隊中有專門的角色來執行網路威脅搜索
-
團隊定期接受來自商業或公開TTP威脅情資
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
團隊掌握某資安事件,會與產業共享TTP
119
【題目分類:防護能力 / 系統和資訊完整性】分析系統行為來偵測和減輕,潛在惡意行為的指令和腳本於正常系統上執行。
- 有部署端點偵測和回應方案 (EDR)到組織端點設備上
120
【題目分類:防護能力 / 系統和資訊完整性】監視組織系統,包括入站和出站通訊流量,以偵測攻擊和潛在攻擊的指令。
- 部署監控方案於所有位於戰略位置的組織系統
- 持續偵測攻擊和攻擊指標(內部惡意流量、非工作時間的行為、遠端通訊等)
121
【題目分類:防護能力 / 系統和資訊完整性】辨識未經授權使用組織系統的情況。
- 部署至少一個使用者授權活動監控軟體
- 有持續記錄網路上每個連接的資訊
- 有輸出確認使用者符合授權策略(視覺化)
122
【題目分類:防護能力 / 系統和資訊完整性】在資訊系統存取入口和出口點採用垃圾郵件保護機制。
-
有垃圾郵件入站防護機制(阻擋垃圾郵件)
-
有垃圾郵件出站防護機制(避免發送垃圾郵件)
-
定期查看和改進郵件過濾規則
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
123
【題目分類:防護能力 / 系統和資訊完整性】持續監控個人和系統元件的異常或可疑行為。
- 有部署使用者和實體行為分析方案(UEBA)來辨識惡意活動
124
【題目分類:防護能力 / 系統和資訊完整性】實施電子郵件偽造保護。
- 有實施電子郵件保護阻止偽造寄件者位址(如:DKIM、SPF 和 DMARC技術解決方案)
125
【題目分類:防護能力 / 系統和資訊完整性】利用沙箱來偵測或阻止潛在的惡意電子郵件。
- 有設置電子郵件沙箱分析環境
- 電子郵件經過沙箱測試確定安全後才允許通過
126*
【題目分類:防護能力 / 存取控制】組織控制內部系統存取可對各種類型帳戶的權限,應採用最小權限原則(分配其業務功能所需的最少權限)
- 系統有帳戶管理功能
- 限制使用者只能存取履行職責所需的機器和資訊
- 限制使用者更改的系統配置設定
127
【題目分類:防護能力 / 存取控制】組織存取非安全功能時,會使用非特權帳戶或角色
- 僅有管理者才能使用特權帳戶
- 僅在執行管理功能時使用特權帳戶
128
【題目分類:防護能力 / 存取控制】組識有使用行動設備管理機制,進行設備存取管控
- 公司資安政策有提供行動設備(如:平板電腦、手機等)使用指南
- 行動設備必須先獲得IT部門批准,並註冊才能連接到網路
- IT部門有使用行動設備管理解決方案來監視行動設備
129
【題目分類:防護能力 / 存取控制】組織可根據合法的授權控制,對授權的使用者與程式進行資料存取限制,管制資訊的流程
- 公司網路上有配置防火牆或Proxy Server
- 防火牆或Proxy Server可攔截、分析流量,以確保為合法傳輸
130
【題目分類:防護能力 / 配置管理】組織可在各個系統開發生命週期中,建立和維護組織系統的基本配置和清單(包括硬體,軟體,韌體和文件)
- 有記錄系統的軟體和組態設定
- 記錄系統與元件在網路中的位置,如:網路拓樸圖
- 組織有要求的其他特殊規格
131*
【題目分類:防護能力 / 配置管理】組織系統配置應採用最少功能性原則
- 有自行定義組織的角色和最低要求功能
- 檢查每個新系統是否符合組織定義的最低要求功能
- 刪除不需要的軟體
- 禁用未使用的協定和網路服務
132
【題目分類:防護能力 / 配置管理】組織系統中所使用的資訊技術產品應建立和實施安全配置設定
- 採用最嚴格的組態設定(又稱系統鎖定)
- 確實執行組態設定,應用於所有的資訊系統
133
【題目分類:防護能力 / 配置管理】系統配置應定義、記錄、核准和實施與組織系統變更相關的實體和邏輯存取限制
- 需要特定認證(邏輯或實體)才能修改組態設定
- 經過主管核可才能進行變更
- 特定情境下須特定IP才能對系統軟體更新
- 特定情境下須特定時間才能進行系統組態變更
134
【題目分類:防護能力 / 配置管理】組織可限制、解除或禁止使用不必要的程式功能、通訊埠(port)、協定(protocols)和服務
- 限制所有不必要的通訊埠(port)、協定(protocols)和服務
135
【題目分類:防護能力 / 配置管理】組織可使用黑名單防止未經授權的軟體執行,或者使用白名單來允許授權軟體執行
- 透過白名單或黑名單來管制程式執行
136
【題目分類:防護能力 / 身份驗證】組織可允許存取組織系統前,應驗證帳戶、程式或設備的身份
- 有驗證身分的機制(如:帳號/密碼)
- 帳號/密碼並非預設,且密碼具有唯一性
137
【題目分類:防護能力 / 身份驗證】組織可建立新密碼時,應強制規定新密碼需符合一定的複雜度
- 設置組織的密碼規則
- 密碼規則使用不同類型的字元組合(數字、大小寫字母、符號)
- 密碼有最少字元限制
138
【題目分類:防護能力 / 系統和通訊保護】組織可在資訊系統的外部邊界和關鍵內部邊界監視、控制和保護組織通訊(即組織資訊系統發送或接收的資訊)
- 有設置Web Proxy或防火牆
- Web Proxy或防火牆有設定為僅限對可信任站點存取
- 設有網路封包側錄
139
【題目分類:防護能力 / 系統和通訊保護】組織可部署子網路以供公共存取系統元件,且該子網路採用實體或邏輯上的分割,並滿足與內部網路分離
- 有設置非軍事區
- 採用網路隔離方法保護內部系統
140
【題目分類:防護能力 / 系統和資訊完整性】組織可即時辨識、報告和糾正資訊和資訊系統漏洞
- 定期掌握系統的漏洞資訊
- 制定安全更新流程
- 購買漏洞更新或情資服務
141
【題目分類:防護能力 / 系統和資訊完整性】可在組織資訊系統內的適當位置,提供針對惡意程式保護
- 在系統的重要位置上有佈署惡意程式防護方案
142
【題目分類:防護能力 / 系統和資訊完整性】當有新版本發佈時,更新惡意程式保護機制
- 惡意程式防護方案設定是自動更新到最新版本
143
【題目分類:防護能力 / 系統和資訊完整性】在下載、打開或執行檔案時,對資訊系統進行定期掃描,並對來自外部的檔案進行即時掃描
- 制定惡意程式掃描頻率計劃
- 每當下載或打開儲存的新文件時(如:插入新USB),實時掃描就會查看系統
144
【題目分類:防護能力 / 資安意識與訓練】組織可確保管理者、系統管理員和組織系統使用者,了解與其操作相關的安全風險,包含系統安全性相關的規範,標準和流程
- 邀請資安講師或線上培訓宣導意識
- 資安意識提升活動(資安週)
- 資安海報和電子郵件宣導資安政策
145
【題目分類:防護能力 / 資安意識與訓練】組織可確保受訓人員接受其所分配的資訊安全相關職責訓練內容
- 設有資安專業培訓預算
- 設有基於員工角色與職責之專業培訓課程
146
【題目分類:防護能力 / 存取控制】組織可透過授權帳戶或程式來限制使用者、設備(包含其他資訊系統)存取系統
- 為每位使用公司重要電腦的員工提供使用者帳號和密碼
- 只將使用者帳號和密碼提供給有權使用該系統的員工
- 員工離職後立即禁用其使用者帳號和密碼
147
【題目分類:防護能力 / 存取控制】組織可限制被授權的使用者只能存取他們授權範圍內的程式或資訊系統
- 有一套機制可管理特定員工才能使用機敏應用程式或資料
148
【題目分類:防護能力 / 存取控制】組織可驗證並控制/限制授權的使用者與程式與外部資訊系統的連接和使用
- 確保管制公司網路與外部網路(如:Internet)
- 有管制個人設備(如:筆電、平板和手機)存取公司網路和資訊
- 有限制網路連接到外部系統的方式和時間
- 有限制特定員工從內網連接到外部系統
149
【題目分類:防護能力 / 存取控制】組織可控管在公開的資訊平台上發佈的資訊內容
- 所有資訊發佈到公司網站或向大眾發布之前會仔細檢查所有資訊
- 僅允許某些員工可以發佈資訊到網站
150
【題目分類:防護能力 / 身份驗證】組織可識別資訊系統使用者和使用者所執行的程式或設備
- 有設置身分認證系統
- 員工都有唯一帳號識別每個人
151
【題目分類:偵測能力 / 稽核和可歸責性】應定期檢查已記錄的事件,並識別可能的安全事件,並且應根據組織需要更新記錄的事件列表
-
定期更新資安事件列表
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
當發現新的威脅事件時會更新資安事件列表
152
【題目分類:偵測能力 / 稽核和可歸責性】審核資訊紀錄失敗時,應發出警報
- 日誌記錄機制一失效,立即通知資安專責人員
- 驗證失效告警
- 重新啟動日誌記錄機制並驗證它確實運作
153*
【題目分類:偵測能力 / 稽核和可歸責性】將審核資訊(例如log)收集到一個或多個集中儲存點
- 所有日誌採用通用格式匯集到一台或多台集中式儲存伺服器
- 支援自動化分析功能
- 集中式儲存有保護機制
154
【題目分類:偵測能力 / 稽核和可歸責性】識別未回報的資產稽核紀錄,並確保組織定義的系統有被適當的記錄下來
- 有定期確認資產回報日誌狀態
- 當發現有資產尚未回報日誌將發送通知進行調查
155
【題目分類:偵測能力 / 稽核和可歸責性】保護未經授權的存取、修改和刪除審核資訊和審核記錄工具
- 正確配置日誌記錄,確認儲存空間充足
- 集中儲存的日誌有資料採唯獨模式,不會被刪除或更改
- 只有獲得授權個人才能查看稽核工具中的資訊
- 集中儲存日誌伺服器會進行備份
- 本地端日誌只能由系統管理員查看
156
【題目分類:偵測能力 / 稽核和可歸責性】將稽核記錄功能的管理權限,限縮給特定的特權帳戶
- 有專門的日誌稽核員
- 稽核日誌功能完全交由資安稽核員
- 網路基礎架構人員無法查看、刪除與修改日誌
157
【題目分類:偵測能力 / 稽核和可歸責性】審查相關審核記錄,以調查和通報非法、未經授權、可疑或異常活動的跡象
-
有定期進行日誌分析工作
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
有專門執行日誌分析團隊
158
【題目分類:偵測能力 / 稽核和可歸責性】應過濾並提取有意義且相關的審核紀錄,以建立簡潔有力的分報告,提升檢閱的效率
- 有採購或開發規則來收集、過濾、分析異常跡象
- 安全日誌可提供簡單可視化圖表
159
【題目分類:偵測能力 / 稽核和可歸責性】自動分析審核記錄,並識別關鍵指標(TTP; tools, techniques, procedures),或組織定義的可疑活動並對其採取對應措施
- 有定義威脅關鍵指標或可疑行為以進行辨識
- 日誌分析採用自動化工具(自動處理告警、產生完整報告)
- 根據分析結果有採取因應行動方案
160
【題目分類:偵測能力 / 稽核和可歸責性】查看審核資訊以了解每台機器的活動,以及大範圍的機器活動
- 有跨系統進行資安事件調查能力
- 能仔細針對每台異常設備進行深度調查
161
【題目分類:偵測能力 / 情境意識】組織會接收,並回應網路威脅情資(如:駭客情資共享論壇,或特定威脅情資來源等),並與利益相關人進行溝通。
-
有專責人員定期收集最新的網路威脅情資
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
有加入產業或政府提供的威脅情資共享聯盟(ISAC)
-
有使用外部情資來更新組織威脅態勢、漏洞掃描和風險評估
-
有使用外部情資提供的最佳實務,提供給員工與公司利害關係人(如:客戶、供應商等)
162
【題目分類:偵測能力 / 情境意識】建立並維護網路威脅獵捕功能,以搜尋組織系統中的威脅入侵指標(indicators of compromise),並偵測、追蹤和破壞那些可逃避現有控制措施的威脅。
- 有成立專門的威脅獵捕團隊
- 有善用日誌分析、網路流量分析和威脅情資工具
- 事件處理完畢後,團隊會建立威脅入侵指標
- 會不定期分享威脅入侵指標給其他社群
163
【題目分類:偵測能力 / 情境意識】設計網路和系統安全功能,以利用、整合和共享威脅入侵指標(indicators of compromise)。
- 威脅情資採用自動化方式介接,提高反應速度
164
【題目分類:偵測能力 / 稽核和可歸責性】確保可以追溯單一系統操作的使用者,以便他們對其操作負責
- 日誌資訊有用戶ID
- 日誌資訊有來源IP地址
- 日誌資訊有目標IP地址
- 日誌資訊有時間戳
165
【題目分類:偵測能力 / 稽核和可歸責性】組織可確保系統建立並保留稽核記錄,並且稽核記錄內應包含足夠的資訊,以識別和調查非法或未經授權的系統活動
- 系統能提供存取控制成功或失敗事件描述
- 系統能提供系統錯誤事件描述
- 系統能提供備份和還原事件描述
- 系統能提供配置變更事件描述
166*
【題目分類:偵測能力 / 稽核和可歸責性】組織可提供可以同步標準時間與內部系統時間的時間同步系統,以生成稽核紀錄的時間戳記
- 每台機器設置為與中央時間伺服器時間同步
167
【題目分類:偵測能力 / 稽核和可歸責性】組織可查看稽核記錄
-
有設置日誌事件查看器
-
有定期檢查日誌文件是否已被更改,或有異常跡象
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
168
【題目分類:復原能力 / 復原】定期執行組織定義的完整、全面和靈活資料備份。
-
有定期執行系統備份
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
至少有一份完整系統備份離線儲存在不同的位置
-
至少有一份完整系統的異地備份在不同的位置
169
【題目分類:復原能力 / 復原】確保資訊處理設施滿足組織定義的資訊安全連續性,備援性和可用性要求。
- 重要安全設施存在備援系統(如:中央日誌伺服器)
- 故障時可執行自動切換至備援環境
- 切換備援主機時間間隔在組織可容忍範圍內(服務連續性)
170
【題目分類:復原能力 / 復原】組織有定期執行資料備份及資料回復驗證程序
-
定期安排備份包含:自動或手動執行
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
-
建立備份後,有定期進行測試
執行的頻率為-每週
執行的頻率為-每月
執行的頻率為-每季
執行的頻率為-每半年
執行的頻率為-每年
執行的頻率為-2年以上
171
【題目分類:復原能力 / 復原】組織有針對儲存主機進行資訊備份保護,確保資料機密性
- 備份資料有加密保護
- 備份資料只有授權人員存取
- 只有授權的人才能接近儲存主機