法務部主管法規查詢系統

列印時間:113.12.27 09:46

法規內容

法規名稱: 法務部資訊應用系統開發維護安全管理規範
公發布日: 民國 96 年 03 月 13 日
修正日期:民國 113 年 10 月 25 日
法規體系: 法務部部內各單位 > 資訊處
立法理由:
法規功能按鈕區
一、目的
    為確保法務部(以下簡稱本部)系統安全與正常運作,特訂定本管理
    規範以為依循。
二、適用範圍
    本部資訊處自行開發、委外、購置之應用系統。
三、系統開發生命週期(SDLC)管理
(一)需求分析階段
      應用系統新增或變更需求分析,除應考量可行性及成本效益外,亦
      應考量對現有環境之影響。
(二)規劃階段
      1.應用系統規劃及既有應用系統改版時,應考量加入自動化控制措
        施(如資料輸入/輸出驗證、錯誤訊息顯示…等),和輔助性控
        制措施(如系統權限稽查、參數設定…等),來達成應用系統之
        安全要求。
      2.委外開發之應用系統開發或變更時,應視應用系統之複雜程度與
        重要性,考慮要求廠商提出或修正下列文件後,始得變更:
     (1)系統功能架構圖。
     (2)系統流程圖。
     (3)系統環境需求說明文件。
     (4)需求變更明細表。
     (5)會談紀錄。
      3.規劃階段應確保系統安全品質,包含應用系統對於網路環境、運
        作環境及內外部資源使用之安全性。
(三)開發、變更與測試階段
      1.系統測試與開發環境,應與正式應用系統實體區隔。
      2.委外開發測試資料,如內容涉及機密或敏感公務資料原則不交付
        廠商;如業務需求須交付者應考量採用亂碼化處理。
      3.系統開發應注意智慧財產權及著作權等問題,委外開發時應註明
        智慧財產權及著作權之歸屬,避免出現違法情形。
      4.程式撰寫時應考量安全問題,避免出現已知之弱點。
      5.系統開發完成後應進行測試,除測試系統功能外,亦應測試系統
        安全性,如:存取控制強度、系統回復測試、最新弱點驗證及木
        馬程式檢查…等,若有發現異常狀況,應將該程式退回,並請廠
        商或開發人員提出相關說明並修正程式。
      6.開發完成之應用系統或程式經測試後,應確認符合本程序相關要
        求俾利作為驗收依據。
      7.系統進行較大變更時,應申請經授權後始進行變更,變更範圍須
        經測試後始得上線運作。
(四)上線階段
      1.系統相關文件,如使用者手冊、系統說明文件等,應於系統上線
        前提出。
      2.應用系統配合上線應辦理相關教育訓練。
      3.上線使用之應用系統時,應符合以下最低要求:
     (1)應用系統之密碼機制強度應符合本部相關規範。
     (2)應能明確建立權限劃分設定。
     (3)應能提供系統存取、帳號密碼變更之系統紀錄功能。
(五)前述各階段均應同步以安全系統開發生命週期(SSDLC )檢核表進
      行安全檢核。
四、確保系統之正確處理
    應用系統之設計應能符合對於資料輸入輸出之確認、系統內部處理及
    系統與系統間資料銜接之完整性,並確保系統紀錄訊息之完整性。
五、系統存取控制之管理
(一)應用系統應能管控經授權使用者可輸入及存取之資料範圍,以避免
      輸入及輸出錯誤。
(二)應用系統存取其他作業系統或資料庫所使用之帳號,應避免寫入程
      式中,並應考量應用系統所需使用之權限,應盡量避免直接使用系
      統最高權限。
(三)應用系統使用者帳號及密碼管理應依本部相關規範辦理。
六、檔案及資料之保護
(一)作業系統變更(版本升級、軟體安裝或設定變更等),應再評估對
      應用系統之影響。
(二)若需使用機密或敏感公務測試資料,測試環境之安全管控應比照正
      式營運環境,對於所使用之測試資料應加以保護,並於不再有測試
      需求時刪除。
(三)為確保重要系統之資料安全,資料傳輸、儲存等採用加密方式為原
      則。
(四)為防止未經授權之資料揭露,宜進行機密或敏感公務資料去識別化
      。
(五)應用系統程式碼應指定專人管理,發展中或是測試中的應用程式,
      應與營運之系統程式碼區隔。
(六)系統文書及相關作業手冊等資料,應依文件相關規定妥善保存。
七、系統操作與維護管理
(一)應用系統應定期審查系統或資料存取狀況,並檢驗是否有資訊被揭
      露之弱點存在。
(二)應建立應用系統技術脆弱性資訊之取得管道,並應評估相關可能帶
      來之風險。
八、電子商務網站安全管理
(一)應以 SSL(Secure Socket Layer ,安全插槽層)等加密機制,確
      保網站傳輸消費者個人資料之機密性。
(二)應確保網站資訊之正確性,確保交易過程之安全性及防治網路詐欺
      行為發生(如:商品價格資訊、出貨資訊等)。
(三)應確保交易訂單、付款資訊、運送地址資訊及出貨通知之機密性及
      完整性。
(四)應進行買賣雙方確認作業,避免付款及出貨過程之糾紛。
資料來源:法務部主管法規查詢系統