為避免駭客透過資安防護能量不足之供應商對本府機關進行攻擊,請各機關對於委外廠商進行下列要求管理:
1.依據專案類型,履約廠商的資格增加資安驗證與治理能力條件,履約與駐點相關人員應熟知本府資安規定,並納入資安人力的要求。
2.原則上禁止廠商遠端連線管理伺服器,如有遠端管理需求,應以VPN連線,一人一帳號且採取多因子認證,並僅可連線到廠商管理的主機範圍,建議採用跳板主機之方式進行遠端管理,降低重要主機可能攻擊範圍。
3.廠商帳號密碼應定期盤點,並以最小權限與最低開放時間為原則,如已無使用需求或人員異動,均應刪除。
4.廠商連線與登入之相關紀錄應納入監控,有異常行為應停用帳號並進行調查。
5.如有廠商代管伺服器或廠商建有專案相關主機應訂定各項資安需求,要求廠商遵守。
6.應定期參考資訊局提供之委外廠商稽核表進行廠商外部稽核,確認廠商相關資安工作,如有缺失應追蹤管考。
7.廠商如有內部受駭事件,影響機關者,應要求廠商主動通知機關進行損害控制或預防措施,避免受到波及。
8.廠商所提供之軟硬體及應用系統,包含廠商內部與建置於機關機房者,均應規範資安需求與資安檢測基準,應持續進行弱掃與修補,並納入驗收與定期維運之必要條件。