# About Me 葉柏毅 Alex Contact: alrex5401@gmail.com Linkedin：https://www.linkedin.com/in/alrex5401/ # 保險業使用物聯網設備作業準則-導覽 修正日期： 民國 112 年 09 月 07 日(異動差異，可見***斜線粗體***) 一、 為確保保險業使用物聯網(Internet of Things,IoT)設備之安全性，以確保適當管理運用物聯網設備之風險，並保障消費者。 > - 立法目標說明。 二、 本作業準則所稱物聯網設備係指具實際連線於Internet或Intranet之辦公公用設備（包括但不限於事務機、網路電話機、傳真機及印表機）、門禁監控（包括但不限於門禁、DVR等）、環境管控（包括但不限於環境感測器、網路攝影機）等實體裝置或設備。 > - 物聯網設備定義。 > - 原則上，有網路功能的資產設備都要盤點 > - 可先粗分，「無接入公司環境直接對外」和「有接入公司環境」。 > > 以銀行公會「[金融機構使用物聯網設備安全控管規範110.04.30版本](https://ba.org.tw/FileDownload/Download?FileId=b33464ef-b36f-4c3c-826e-2e9532a95572&FileName=%E9%87%91%E8%9E%8D%E6%A9%9F%E6%A7%8B%E4%BD%BF%E7%94%A8%E7%89%A9%E8%81%AF%E7%B6%B2%E8%A8%AD%E5%82%99%E5%AE%89%E5%85%A8%E6%8E%A7%E7%AE%A1%E8%A6%8F%E7%AF%84_1100430.pdf)」定義，有新增排除項目： > - 所稱物聯網設備係指具IP網路連線功能並實際連線於Internet或Intranet之辦公設備（包括但不限於事務機、網路電話機、傳真機及印表機）、門禁監控（包括但不限於門禁、DVR、錄音設備）、環境管控（包括但不限於環境感測器、網路攝影機）***，排除已有管控機制設備(如伺服器、個人電腦、平板電腦、網路設備、資安設備、儲存設備)及僅使用藍牙、RS-232、USB連接等裝置。*** 三、 應建立物聯網設備管理清冊並至少每年更新一次，以識別設備用途、設備IP、存放位置與管理人員，評估適當之實體環境控管措施及存取權限管制。 > - 應造冊管理，並每年更新，並包含識別設備用途、設備IP、存放位置與管理人員、控管措施及存取權限管制。 > > 常見有幾種分工方式： > - 1. 總務為主，資訊、資安為輔（主流）： > 總務：透過請採購流程，集中控管；輔以資訊單位進行IP/MAC綁定與配發，及對外連線和白名單建置；委由資安單位進行相關規範制定及佈達。 > - 2. 資訊為主，總務、資安為輔（技術控管）： > 透過IP申請機制進行控管及記錄，每年委由總務進行盤點及確認；由資安單位進行相關規範制定及佈達。 > - 3. 資安為主，總務、資訊為輔（公親變事主）： > 由資安單位進行相關規範制定及佈達，並定期發動盤點作業，請總務進行盤點及資訊單位產出相關IP申請資訊，由資安單位進行彙整及確認。 > 造冊規劃（範例） > - 清冊欄位：編號、設備類別、設備型號、IP位址、MAC、存放位置(地址)、保管單位、保管人、維護廠商、作業系統、安全控制措施、備註 > 安全控制措施(參考)： > - 依據設備選擇符合之安控措施代號： > > - (A)第四條：設備具備安全性更新機制。 > > - (B)第五條：設備具備身分驗證機制(密碼長度8碼以上且英數字混合)及最小權限原則。 > > - (C)第六條：以無線連接網路者，已採用加密協定及網路卡綁定(白名單)機制。 > > - (D)第七條：已關閉不必要網路連線及服務，如為公開網際網路位置，已設置防火牆及白名單方式過濾。 > > - (E)第八條：已與供應商簽訂資訊安全相關協議。 > > - (F)第九條：設備存在已知弱點無法修補或更新，已依限制網際網路連線能力，加強存取控制或網路連線行為監控，並訂定對汰換時程。 > > - (G)第十條：具有安全標章之物聯網設備 > > - (H)第十三條：不具遠端介面功能之感測器，已符合(D)至(F)或汰換計畫之要求。 四、 設備應具備安全性更新機制，以維持設備之整體安全性。 > - 設備要有安全性更新機制，如韌體(firmware)上傳更新。 五、 為確保經授權之使用者始得進行資料存取、設備管理及安全性更新等操作，設備應具備身分驗證機制，並應進行初始密碼變更，密碼長度不應少於***八***位，建議採英數字混合使用，且宜包含大小寫英文字母或符號，並以最小權限原則針對不同的使用者身分進行授權，***若設備現階段未能符合本條所要求之控管措施，則依本作業準則第九條規定辦理***。 > - 設備要有帳號登入機制 > - 請務必進行初始密碼變更（並留下變更軌跡） > 密碼長度不應少於***八***位，建議採英數字混合使用，且宜包含大小寫英文字母或符號：設備需支援8碼以上英數字混合 > - 以最小權限原則：需能分管理員和使用者權限。 六、 設備以無線連接網路者，應採用具加密協定之無線存取點連接網路，並以網路卡卡號白名單等機制進行設備綁定。 > - 物聯網設備，如透過無線連接網路者，應以白名單管理，並透過加密協定之存取點連結無線網路。 七、 設備應關閉不必要之網路連線及服務，限制其對網際網路不必要之網路連線；並避免使用對外公開之網際網路位置，如設備採用公開的網際網路位置，應於設備前端設置防火牆以防護，並採用白名單方式進行存取過濾或該物聯網設備不與公司內部網路介接。 > - 設備應關閉不必要之網路連線及服務，限制其對網際網路不必要之網路連線；並避免使用對外公開之網際網路位置。 > - 若設備有開放對外，應有防火牆等資安防護，並透過白名單方式進行存取過濾。 > - 若設備有開放對外，或該物聯網設備應不與公司內部網路介接。 八、 應與設備供應商簽訂資訊安全相關協議，以明確約定相關責任。 > - 物聯網設備採購合約，應內含資訊安全相關協議。 九、 設備存在已知弱點且無法修補或更新，無法落實前述安全控管規範，應限制網際網路連線能力，加強存取控制或進行網路連線行為監控；並視需要訂定汰換期程。 > - 設備若存在已知弱點且無法修補或更新，或無法落實前述安全控管規範，應限制該設備之對外連線，並應訂定汰換期程。 十、 採購物聯網設備時，應優先採購經濟部與國家通訊傳播委員會共同發布物聯網資安標章認驗證制度之具有安全標章之物聯網設備。 > - 採購物聯網設備時，應優先採購物聯網資安標章認驗證制度之具有安全標章之物聯網設備。 十一、 應每年對物聯網設備使用及管理人員安排適當之資訊安全教育訓練。 > - 應針對物聯網設備使用及管理人員安排物聯網資訊安全教育訓練。 > - 常見會納入全公司每年3小時教育訓練中。 > > 以銀行公會「[金融機構使用物聯網設備安全控管規範110.04.30版本](https://ba.org.tw/FileDownload/Download?FileId=b33464ef-b36f-4c3c-826e-2e9532a95572&FileName=%E9%87%91%E8%9E%8D%E6%A9%9F%E6%A7%8B%E4%BD%BF%E7%94%A8%E7%89%A9%E8%81%AF%E7%B6%B2%E8%A8%AD%E5%82%99%E5%AE%89%E5%85%A8%E6%8E%A7%E7%AE%A1%E8%A6%8F%E7%AF%84_1100430.pdf)」描述，有明訂課程時間： > - 物聯網設備管理人員每年應接受至少1個小時之相關物聯網安全教育訓練課程；另每年定期辦理之資訊安全宣導課程應有半個小時與物聯網相關，以強化使用人員對物聯網設備資安防護意識與技能。 十二、 汰換物聯網設備時，應訂定汰除作業程序以避免儲存於物聯網設備資料外洩。 > - 汰換物聯網設備時，應至少納入公司（硬碟/資訊設備）汰換處理程序。 十三、 針對不具備遠端操控介面功能之感測器，仍應遵循本作業準則三、七、八、九、十二之要求辦理。 > - 針對不具備遠端操控介面功能之感測器，仍應依本作業準則辦理。