服務簡介
係基於(1)銀行業「金融機構辦理電腦系統資訊安全評估辦法」、(2)保險業「保險業辦理資訊安全防護自律規範」、(3)保險經紀人「保險經紀人資訊安全作業控管自律規範」等規範,執行「合規性」、「妥適性」、「完整性」評估及辨識技術面資通安全威脅與弱點,提供「電腦系統資訊安全評估報告」及專業諮詢,協助金融機構強化資安治理及資安縱深防禦。
服務流程
本團隊融入PDCA精神,依循七個階段「標準化流程」執行,參考客戶近年內外稽之議題並訪談實際現況後,透由國內最頂尖資安團隊實際技術檢測與評估殘餘風險,進一步提供專業之修補諮詢服務。長期合作也將協助規劃各年度評估方式,包含評估廣度與技術深度,並根據前一年合作經驗優化下一年度服務流程,以提升合作順暢度及效率、降低人員作業負擔、執行方式更符合公司作業文化。
特色與優勢
評估項目
本服務涵蓋「資安治理評估」如:資訊設備管理規則、營運持續管理;「技術檢測」如:滲透測試、惡意程式檢測、弱點掃描等,評估項目詳見下表:
註:因應產業別法律規範用字不同,故未依循法規條例詳列。
評估項目 | 評估細項 |
1. 資訊架構檢視 | 1.1 網路架構檢視 |
1.2 資訊設備管理規則檢視 | |
1.3 單點故障與衝擊評估 | |
1.4 營運持續管理評估 | |
1.5 F-ISAC情資發佈之處理措施評估 | |
1.6 伺服器網段,應依電腦系統分類或系統功能或服務特性進行區隔之妥適性 | |
2. 網路活動檢視 | 2.1 網路設備、伺服器及物聯網設備之存取監控與處理機制評估 |
2.2 資安設備之監控紀錄與處理機制評估 | |
2.3 封包監聽與分析 | |
3. 網路設備、伺服器、終端設備及物聯網設備等設備檢測 | 3.1 弱點掃描與修補作業 |
3.2 惡意程式檢測 | |
3.3 檔案傳輸連線評估 | |
3.4 資料庫連線評估 | |
4. 網路設備、伺服器及物聯網等設備且連線至Internet者應辦理事項 | 4.1 滲透測試(黑箱/灰箱) |
4.2 源碼檢測 | |
5. 客戶端應用程式檢測 | 5.1 APP、元件檢測(OWASP) |
5.2 APP檢測(MAS) | |
6. 安全設定檢視 | 6.1 密碼設定/帳戶鎖定原則檢測 |
6.2 防火牆設定與規則評估 | |
6.3 系統存取限制及特權帳號管理評估 | |
6.4 作業系統、防毒軟體、辦公軟體及應用軟體等之更新設定及更新狀態檢測 | |
6.5 金鑰之儲存保護機制與存取控制評估 | |
7. 合規檢視 | |
8. 社交工程演練 | |
9. DDoS演練 | |
10. ATM演練 | |