# About Me 葉柏毅 Alex Contact: alrex5401@gmail.com Linkedin：https://www.linkedin.com/in/alrex5401/ 相信最近很多資安界朋友，應該陸續都遇到被要求，檢視合約中的資安條款或資安要求。 常常各式各樣的採購或專案，都要資安檢視或是二三道防線。 您正在為資安條款煩惱嗎？ 小弟不藏私，完整版供您參考。 [資訊安全協議範本ISR1](https://hackmd.io/@alrex5401/ISR) [資訊安全協議範本ISR2](https://hackmd.io/@alrex5401/ISR2) [資訊安全協議範本ISR3](https://hackmd.io/@alrex5401/ISR3) # 資訊安全要求 (Information security requirement, ISR)                                                                  (以下簡稱甲方) 立合約書人：                                                                  (以下簡稱乙方) ## 一、 資訊安全責任 (一) 乙方及其人員（包含但不限於受僱人、代理人、使用人及履行輔助人，以下同）不得於合約標的、甲方硬體或軟體(或甲方之設備)安設任何後門、惡意攻擊或病毒程式或其他未經授權之軟體，且除經甲方書面同意外，乙方及其人員亦不得安裝任何含有遠端遙控功能之程式/軟體。如有違反，乙方應給付甲方依本合約總價款百分之○/○倍【依實際擇ㄧ填載】計算之懲罰性違約金，甲方並得終止或解除本合約。如造成甲方損害，乙方應負全部賠償責任。 (二) 乙方及其人員履行本合約，如有不法侵入、擷取或竄改甲方程式、資料等情事，乙方應給付甲方依本合約總價款百分之○/○倍【依實際擇ㄧ填載】計算之懲罰性違約金，甲方並得終止或解除本合約。如因此致甲方或甲方關係企業、客戶、員工遭受第三人請求或其他損害時，乙方應與該行為人對甲方或甲方關係企業、客戶、員工負連帶賠償責任。 (三) 乙方應確實遵守甲方資訊安全之相關規範（包含但不限於甲方資訊安全政策、管理辦法）。 (四) 乙方於甲方環境之外安裝建置具連網傳輸功能之各類設備或系統，乙方於交付甲方前，須完成下列資訊安全管理事項並提出相關證明；如因專案特性不適用者，則經需甲方資訊安全單位審核確認。 ## 二、 應用系統資訊安全要求 (一) 應用系統查詢個人資料之稽核紀錄，若有涉及，應留存包括但不限於下列項目：登入/登出紀錄；密碼變更紀錄；使用者查詢、列印、新增、修改、刪除等功能紀錄；檔案傳輸紀錄等。 (二) 資料庫存取之稽核軌跡，若有涉及，應留存包含但不限於下列項目：查詢(Enquiry) 選取(Select) 更新(Update) 新增(Insert) 刪除(Delete) 登入/登出紀錄。 (三) 應使用適當工具保存稽核軌跡紀錄，定期產出管理報表，並將相關軌跡紀錄留存備查。 (四) 與個人資料相關之軌跡紀錄應至少留存五年。但法令另有規定或契約另有約定者，不在此限。 (五) 應用程式和系統安全，本專案客製開發之網頁、API、WebService或任何用以進行身份驗證或傳輸資料之管道，若有涉及，應採 TLS 1.2以上之通道加密，並遵循本公司之「資料加密及傳輸安全標準」；另，非屬本公司之外部伺服器須與本公司連接或進行資料傳輸或公文交換，僅允許連入本公司DMZ1或 Extranet之伺服器，不可從網際網路(Internet)直接連入本公司其他區域。 (六) 須辦理原始碼檢測，以利確認程式設計能否有效防禦資料隱碼功擊或其他網路攻擊。 (七) 系統需確認輸入/輸出資料之正確性，並限制輸入資料類型、字元長度，以避免資料隱碼(SQL injection)或緩衝區溢位(buffer overflow)等攻擊。 (八) 正式環境、測試環境、開發環境需分開。 (九) 應有程式版本控制及程式變更管理作業程序，並配合甲方作業規範。 (十) 除非經由甲方核可，不可使用真實的個人資料或敏感資訊進行系統測試。 (十一) 應避免將客戶真實資料複製至測試環境作業，如確有，須將未去識別化個資複製至測試環境作業之業務需求，除應建立申請、刪除、留存完整稽核軌跡等管控程序外，並應嚴格管理該等資料檔案之存取權限。 (十二) 建立程式原始碼存取控制措施，包括集中並儲存在特定地點(source libraries)、存取作業程序、設定存取權限、保存在安全的環境，應配合甲方作業規範。 (十三) 應建立應用程式的特殊權限帳號(Privileged Accounts)之管理計劃。 ## 三、 後台存取控制安全 (一) 身分驗證(Authentication) (二) 使用者應經身分驗證後，方可登入系統。 (三) 帳號命名原則應符合甲方網域帳號之命名原則，且不能與現行其他系統之命名原則有衝突。 (四) 後臺部分由甲方網域(AD)控管系統登入身分驗證及授權。 (五) 系統前臺之密碼建置，應符合系統後台所設定之約定。 (六) 密碼鎖定：嘗試輸入密碼 5 次不成功之後，需至少鎖定 30 分鐘或使用者帳號必須鎖定直到資訊安全管理人員進行重設。 (七) 密碼於儲存時應先進行不可逆運算（如雜湊演算法），雜湊值應進行加密保護或加入不可得知的資料運算。 (八) 應限制帳號進行重複登入。 (九) 在輸入密碼時，螢幕上不可顯示密碼字元。 (十) 在登入過程中，系統不提供提醒資訊，以避免未經授權人員嘗試登入。當部分或全部密碼輸入不正確時，系統不會提供明確的錯誤訊息(例如明確告知是使用者名稱錯誤或是密碼錯誤)，亦即當使用者帳號及密碼輸入錯誤，系統只會顯示登入失敗。 (十一) 登入系統後，若帳號沒有任何使用行為已逾 30 分鐘，應要求重新登入。 ## 四、 權限授與(Authorization) (一) 帳號之權限應以群組方式授予，且群組應有命名原則。 (二) 群組權限之設計，應符合職能分工原則。 (三) 僅經授權可執行帳號管理人員之群組可執行使用者帳號之新增、刪除、更新與群組權限授予之功能。 (四) 不得使用最高權限帳號(如Administrator、Root或等同權限)作為執行服務、排程、元件服務、ODBC連線、程式過版等用途。 (五) 本系統需保留使用者之登入紀錄(Access log)，其登入記錄至少須包含登入帳號、角色、單位、登入時間、登入 IP、登入結果，須包含人事時地物的稽核軌跡。 (六) 本系統需建立登入逾時控制(Time Out)，對於登入後超過一定時間未動作之 使用者將自動登出，且逾時時間需以參數設定。 (七) 本系統需建立授權異動紀錄保留授權之變更歷程，其異動記錄至少須包含帳號、變更時間、變更類別、變更前後內容。 (八) 使用者授權作業功能含新增、刪除、變更等。 (九) 需提供系統管理人員使用者帳號管理、使用者權限管理、使用者群組管理及使用者操作記錄查詢等使用者管理功能。 ## 五、 權限覆核及資安紀錄檔 (一) 應導入日誌管理 (Log Management) 以保留系統存取、使用者登入紀 錄，這些日誌記錄無法修改，具備有不可否認性，並且提供完整的稽核軌跡紀錄。 (二) 提供以人工或系統自動匯出帳號與權限相關資訊之報表，以供系統擁有單位與使用者作帳號及權限之定期覆核。 (三) 所有使用者帳號之新增、刪除、更新與權限變更之紀錄必須被安全地留存，且應於定期覆核之報表呈現。 (四) 重要且與資安事件相關之帳號存取記錄與特殊權限帳號使用紀錄，必須安全地留存，且應於定期覆核之報表呈現，以作為稽核與定期查核之依據。重要且與資安事件相關之事件包括不當登入、不當之資源存取、特殊權限帳號之不當使用、帳號之啟用與刪除、修改系統安全設定值等。 (五) 擁有特殊權限帳號之人員不能將其帳號之使用紀錄或其他與資安事件相關紀錄隱藏或刪除，以避開顯示於定期覆核報表。 (六) 系統必須保留有足夠的資源來處理與存放帳號存取記錄與特殊權限帳號使用紀錄，此紀錄不能被修改，只能經由授權而讀取，線上必須保留 180 天，紀錄須至少保留 18 個月。 ## 六、 加密 (一) 經由網路傳輸機密資料，須以符合甲方規範方式加密。如：登入時頁面所輸入的資料，在網頁傳輸過程中需使用 https 加密；傳輸檔案需使用 secure FTP) (二) 網頁資料傳輸應使用 SSL 通訊協定加密，SSL 憑證加密的強度至少為 AES 128 bits，SSL 憑證金錀長度至少為 2048 bits 及具有延伸驗證 (Extended Validation)功能。 (三) 密碼於儲存時應先進行不可逆運算(如雜湊演算法)，雜湊值應進行加密保護或加入不可得知的資料運算。 (四) 經由 e-Mail 傳輸資料時，資料須使用 AES 演算法加密或其它符合甲方規範方式加密。 (五) 不可於開放網路環境使用 FTP 傳輸資料，資料須使用 SSH或其它符合甲方「資料加密及傳輸安全標準手冊」方式加密傳輸。 (六) 加密金鑰應妥善的保存並建立完整的作業程序，從金鑰產生、分派啟用、儲存、更新、廢止、封存和銷毀。 (七) 廠商不得將任何可識別本公司客戶之資料以直接或間接方式傳送至雲端或非本公司所屬之伺服器進行處理或儲存。 (八) 廠商所提供軟體(或交付標的物)為交付產品，需具備合法性且不得違反智慧財產權之規定或侵害第三人合法權益。另，交付之系統或程式，廠商應確保無惡意程式及後門程式，或提供相關掃描報告 (九) 廠商於執行本專案相關工作時，需確實遵守本公司資訊安全政策之相關規定。