CyberSecurity

資訊系統委外開發參考規範

  1. 建議環境
  2. 委外開發規範
  3. 採購規範
  4. 軟體開發
  5. 資安規範
  6. 資安檢測
    1. 源碼檢測
    2. 弱點掃描
    3. 滲透測試
  7. 第三方元件
  8. 其他對外網站規範

筆記委外開發系統時,可以參考及需要注意的規範,整理包含資安研究院、國家資通安全會報等各式規範與指引,當中的 RFP 以及契約範本都可以作為委外上的參考資料。同時如果要顧及 SSDLC 所需要的安全檢查表也可以從中取得。

logo

建議環境

  • 程式語言:C#
  • 程式框架:ASP.Net MVC / ASP.NET Core MVC / ASP.NET WebAPI / Blazor
  • 執行環境:ASP.NET 4.8 / ASP.NET 6
  • 網頁伺服器:IIS
  • 資料庫:SQL Server Enterprise / SQL Server Standard / SQL Server Express
  • 伺服器:Windows Server 2019 / 2022
  • 程式語言:PHP
  • 程式框架:Laravel / CodeIgniter
  • 網頁伺服器:Apache / Nginx
  • 資料庫:MySQL / Postgresql
  • 伺服器:Linux / Windows Server

  • 程式語言:Java
  • 程式框架:Spring
  • 網頁伺服器:Tomcat
  • 資料庫:MySQL / MariaDB / Oracle Database
  • 伺服器:Windows Server / Linux

  • 程式語言:Python
  • 程式框架:Django / Flask
  • 網頁伺服器:Apache / Nginx
  • 資料庫:MySQL / MariaDB / PostgresSQL
  • 伺服器:Linux / Windows Server
  • 程式語言:Node.js
  • 程式框架:Express.js / Nginx
  • 網頁伺服器:Nginx
  • 資料庫:MongoDB / PostgresSQL
  • 伺服器:Linux / Windows Server

委外開發規範

🦝111年政府資訊作業委外資安參考指引(修訂)v6.3

🦝資訊服務採購案之資安檢核事項(v7)

🦝資安研究院 - 資通系統委外開發RFP
資通系統委外開發RFP範本 - 資通系統資安需求項目查檢表

🦝資安研究院 - 政府資訊作業委外安全管理

採購規範

🦝 資訊服務採購契約範本
🦝 政府資訊服務採購作業指引
🦝 修正資訊服務採購契約範本強化資安防護

軟體開發

🌞 資通系統獲取開發及維護程序書

🦝106年Web應用程式安全參考指引 - 附件1 Web應用程式安全查檢表(V2.0)

🦝103年安全軟體設計參考指引

🦝103年安全軟體測試參考指引

🦝103年安全軟體發展流程指引 - 附件3 源碼安全查檢表範例

資安規範

依照資通安全責任等級分級辦法第 11 條 「各機關自行或委外開發之資通系統應依附表九所定資通系統防護需求分級原則完成資通系統分級,並依附表十所定資通系統防護基準執行控制措…」。

所以必須先藉由附表九,將委外開發的系統進行分級,並依照附表十的各等級應辦理之防護基準來落實資安防護,並將防護基準所要求的事項加入到委外的工作說明書。

🦉資通安全管理法

🦉資通安全責任等級分級辦法

🐧附表一 資通安全責任等級A級之 公務機關 應辦事項

🐧附表二 資通安全責任等級A級之 特定非公務機關 應辦事項制

🐧附表九、資通系統防護需求分級原則

🐧附表十、資通系統防護基準

🦉資通系統籌獲各階段資安強化措施

「資通系統籌獲各階段資安強化措施」2022 年 5 月 26 日開始實施,試行一年。用以補充說明資通安全管理法施行細則第四條規定選任或監督受託者之相關行政流程及應注意事項。

強化措施的具體步驟,整併至 實踐 SSDLC 深入附表十《資通系統防護基準修正規定》DSCS 的饗宴 🍱 配合

資安檢測

源碼檢測

使用的軟體:Checkmarx / Fortify / SonarQube

在委外廠商交付程式碼後,必須一併附上源碼檢測報告,用以佐證開發過程中是否有任何潛在的資安弱點。

一般系統會要求無高、中風險,關鍵系統甚至會要求無低風險。

一般 WEB 系統掃描規則約定採最新版本 OWASP TOP 10 最新版本,而檢測工具大多支援檔案路徑排除或停用特定掃描規則,

廠商所提供的源碼檢測報告必須註明清楚是否有進行任何檔案路徑排除或停用特定掃描規則。

弱點掃描

使用的軟體:Acunetix / Nessus / WebInspect / HCL Security AppScan / Arachni

在網站正式上線後,必須使用工具對於網站做通盤性的弱點掃描,用以確認是否有任何弱點構面可以被用於攻擊。

弱點掃描分為網站型與主機型掃描,屬於 WEB 系統主要使用網站型的弱掃來檢視弱點與修正。

滲透測試

使用的軟體:OwaspZAP / BurpSuite / Metasploit / SQLMap / Colbalt Strike

在網站正式上線後,相較於弱點掃描是使用工具掃描,滲透測試由專門的資安專家,使用各種巧思、方法測試系統是否有任何弱點。

🦉ACW 資安產業地圖

第三方元件

需要委外廠商提供所使用的第三方元件清單,清單上必須包含軟體的名稱、版本、軟體的授權協議。

服務所使用的開源軟體,採用哪種授權協議?
開放源碼授權協議(Open Source License)?符合機關要求的授權協議?
對第三方開發的客製軟體,保留可以免費發布和重複使用的權利?授權其他機關使用?

DEVCORE - 使用第三方套件所要擔負的資安風險

其他對外網站規範

🐳NCC - 無障礙標章規範

為了照顧多元的網路使用者,網站必須要符合無障礙標章規範,提供對使用者友善的網站設計方式。標章的等級分為 A、AA、AAA,其中 AAA 是最高等級的支援程度標章。

🐳NDC - 「政府網站服務管理規範」

2021年4月12日起,已經停止適用「政府網站版型與內容管理規範」、「政府網站建置及營運作業參考指引」、「政府網站Web 2.0 營運作業參考指引(社會網絡篇)」,其相關的內容已經整合至「政府網站服務管理規範」。

「政府網站服務管理規範」十項原則

原則一、評估網站服務的定位,包括任務目標、服務對象及其需求,以及達成目標的做法。
原則二、宜確保網站服務之易用性,提供簡明易用的操作介面與流程。
原則三、網站建置以開放源碼工具與系統為優先,並採用相容國際通用標準的開發建置環境。
原則四、確認符合資訊安全及網站服務相關規定,例如資通安全管理法、個人資料保護法、政府資訊公開法及網站無障礙規範等。
原則五、應考量所提供之資料與服務的延續性,如需承接舊網站的資料與服務,須制定移轉計畫並據以執行。
原則六、上線前宜制定上線計畫,並避免驟然衝擊業務單位作業及影響使用網站服務。
原則七、宜建立跨部門或跨領域的網站營運任務團隊,明確各個成員的權責分工與維運管理機制。
原則八、宜訂定服務衡量指標,並蒐集與分析網站服務之使用數據,據此做為後續網站服務維護及調整的參考。
原則九、依網站類型及重要性,訂定中斷因應措施,並定期檢視備份資料完整可用,避免因突發狀況造成中斷。
原則十、評估機關業務屬性與所提供的服務類型,善用社群網路媒體,提供多元化的溝通交流管道。

🐳NDC -「109年政府網站營運績效檢核計畫」
🐳NDC - 「政府數位服務指引」

🐳 資策會 - SDG2
🐳 經濟部工業局 - 機關資訊服務採購參考手冊 2000
🐳 經濟部工業局 - 政府資訊系統採購作業手冊 2002
🐳 資訊軟體協會 - 軟體規劃與維護技術文件指引手冊 2009
🐳 資訊軟體協會 - 政府資訊系統採購作業手冊
🐳 資訊軟體協會 - 軟體開發技術文件指引手冊
🐳 資訊軟體協會 - 軟體發展能力評估手冊
🐳 資訊應用發展協會 - 政府資訊業務委外作業規範與參考指引

🐳 行政院及所屬機關(構)使用生成式 AI 參考指引