[研究]聊聊「資通系統防護基準」的「開發、測試及正式作業環境應為區隔」
2025-02-19
資通安全責任等級分級辦法 EN
附表十 資通系統防護基準.PDF
聊聊「資通系統防護基準」的「開發、測試及正式作業環境應為區隔」。
首先,不要自行擴張解釋,或自行用更安全的方式去解釋和要求,除非要你此時要依據的不是「資通系統防護基準」或不僅是「資通系統防護基準」,而是機關內自己的ISMS、ISO 27001或其他。
- 它沒有要求機關一定要具有「開發」、「測試」、「正式」這三種作業環境,它只是要求有的話要「區隔」。
- 它沒有要求在不同的「網段」或不同的「主機」,只是防護的考量下,不同「網段」基本上會比不同「主機」好,不同「主機」會比相同「主機」好。
- 「開發、測試及正式作業環境應為區隔」是要機關要做的,不要被問到時說委外廠商有做。
- 這是「基準」,不是在比哪種方式更安全,你應該用更安全的方式去做。
(完)
沒有留言:
張貼留言