控制措施
用服務的參與單位應該要確保有對於所發現的缺失,或對滲透測試與弱點掃描過程中所發現弱點採取矯正措施。而這些資料應該要被彙整到聯合決策組織,由聯合決策組織對於參與單位的以下事項進行討論:
- 稽核缺失與改善
- 滲透測試與弱點掃描所發生之弱點與改善後複測的結果
- 重大意外事件之處理
就這些缺失與意外事件的處理經驗中,產生對於相關程序的改善建議。此外,聯合決策組織也應該針對各參與單位的執行狀況與技術進步的狀況,找尋持續改善相關程序的可能作法。以便能逐步提升資訊安全控制措施的效率與效果,或者減小資訊安全控制措施對於業務的影響。
相關標準之控制措施:
| 標準 | 相關控制措施 |
|---|---|
| PCI-DSS 3.2.1 | 11.3.3、12.10.6 |
| CIS 控制 v7.1 | 9.3、10.1、10.2 |
| ISO/IEC 27002:2013 | 16.1.6、18.2.1、18.2.2 |