服務簡介
本服務基於「金融機構辦理電腦系統資訊安全評估辦法」擬定各項資訊安全評估作業,協助金融機構評估管理面內控措施是否符合相關法律規範及辨識技術面資通安全威脅與弱點,提供「電腦系統資訊安全評估報告」及專業諮詢,協助金融機構強化人員控管及資安防禦措施。
適用產業
針對金控、銀行、保險、票券、證券及信託等公司。
評估內容
四大層面 | 八大項及評估內容 | 效益 |
網路層 | 1. 資訊架構檢視 | - 找出可能潛在的惡意活動 |
1.1 網路架構配置(設計邏輯、區域配置、主機位置) | ||
1.2 單點故障衝擊與風險承擔能力 | ||
1.3 營運持續管理BCM(持續營運計畫BCP、備援機制DR) | ||
1.5 資訊設備安全管理規則之妥適性 | ||
2. 網路活動檢視 | - 找出可能潛在的惡意活動 | |
2.1 網路設備、伺服器及資通安全設備之存取紀錄 | ||
2.2 檢視及分析警示/異常連線 | ||
2.3 異常紀錄的告警通報機制 | ||
主機層 | 3. 設備檢測 [註] | - 找出系統可能的脆弱點,系統是否潛伏惡意程式 |
3.1 設備之弱點掃描 | ||
3.2 惡意程式檢測 | ||
3.3 系統帳號登入密碼複雜度 | ||
3.4 密碼儲存機制與存取控制 | ||
註:包含網路設備、伺服器、端末及物聯網設備 | ||
4. 網站安全檢測 | - 找出網站脆弱點並進行有效修正,以避免惡意人士利用 | |
4.1 網站弱點掃描 | ||
4.2 滲透測試 | ||
4.3 源碼檢測 | ||
4.4 網站存取權限、授權連線、CPU資源異常耗用及資料庫異常存取行為 | ||
5. 客戶端APP檢測 | - 找出伺服器、交易邏輯及權限跨越漏洞 | |
針對金融機構交付給客戶之應用程式進行下列檢測: | ||
5.1 APP及提供http, https, FTP者進行弱點掃描 | ||
5.2 程式原始碼掃描或滲透測試 | ||
5.3 敏感性資料保護檢測(如記憶體、儲存媒體) | ||
5.4 金鑰保護檢測 | ||
6. 安全設定檢視 | - 確認系統安全性設定及金鑰保護機制,以提升資安防護能力 | |
6.1 AD伺服器群組原則設定 | ||
6.2 防火牆通訊埠安全設定檢視 | ||
6.3 系統存取限制及特權帳號管 | ||
6.4 作業系統、防毒軟體、辦公軟體及應用軟體等之更新設定及更新狀態 | ||
6.5 金鑰之儲存保護機制與存取控制 | ||
管理層 | 7. 合規檢視 | - 確認內控規範是否涵蓋已辨識風險及實際執行狀況 |
7.1 透過書面審查確認是否符合相關法律規範 | ||
7.2 現場訪談及稽核,確認作業人員是否確實遵循內控規範 | ||
人員層 | 8. 社交工程演練 | - 提升員工資安意識,避免APT攻擊 |
8.1 透過社交工程演練瞭解員工資安意識 | ||
8.2 提供不同行為模式之分析報告 | ||
優勢
本公司資安團隊為原中華電信數據分公司,資安共契服務評鑑特優之資安服務團隊成員組成。
- 提供專業、全方位金融安全評估服務
連續三年獲得資安服務廠商評鑑「SOC監控」、「資安健診」、「滲透測試」、「弱點掃描」及「社交工程郵件測試」五項資安服務「A級」之最高評價,擁有堅強實力且高品質服務的資安團隊,打造最專業且人性化服務,協助顧客提升資安防護能力。
- 可信賴的企業夥伴
金融機構內部訊息皆屬於高機敏資訊,本公司團隊及服務品質通過ISO 27001、ISO 27701、ISO 20000及ISO 27025驗證,同時團隊成員入職時皆確認未有任何犯罪紀錄並簽署保密協議,不會將任何資訊洩漏給第三方,若客戶有疑慮,亦提供到府檢測的服務,以避免資料攜出。
- 具前瞻性的經營理念、專業的資安團隊、豐富的實務經驗
本公司長期致力於資通安全檢測技術的建立、提升技術及擴展領域,團隊成員皆擁有多項資安技術證照,以打造完整且專業的資安團隊,提供最完備軟硬體資安檢測及顧問服務,截至目前已成立2年並且服務超過16家金融單位,擁有豐富的實戰經驗。