# 資訊安全管理 課堂討論 --- ## 小組成員: 410621314 李鎮宇 410621205 郭新拳 410635058 鄭梓傑 410635056 魯進業 410621341 尤素夫 事件: 中國信託商業銀行 2013資安問題 --- 1. 對網站索引檔案產出程式之設計未臻嚴謹 8.1 運作之規劃及控制 A14.1.1 資訊安全要求事項分析及規格 A14.2.2系統變更控制程序 --- 2. 對相關檔案驗證方法及程序亦有欠周延 3. 未對貴行內部目錄網頁之讀取權限作嚴謹控管，導致一般網路使用者得進入瀏覽並取得貴行內部目錄網頁所留存之客戶資料 4. 未能有效發現外部人士瀏覽貴行內部目錄網頁，核有未落實執行內部控制制度之缺失 --- 對 點二 A13.2.3 電子傳訊 保護電子傳訊之資訊 A9.1.1 存取控制政策 --- 對 點三 A9.1.2對網路及網路服務之存取 A9.4.1 資訊存取控制 A13.2.4 機密性或保密協議 A14.1.2 保全公共網路之應用服務 A14.1.3 保護應用服務交易 A18.1.4 個人可識別資訊之隱私及保護 --- 對 點四 9.2 內部稽核 本文10.1改善 不符合項目及矯正措施 A16.1.1 責任及程序 A16.1.3 通報資訊安全弱點 本文 7.2 能力 A15.2.1供應者服務之監視及審查 A12.7.1資訊系統稽核控制措施 ---