Page 48 - 清流雙月刊 NO.34

P. 48

MJIB

總之，政府的主要政策是指對網路事人員保持對其軟體更高的可見度和公開安

件（Incident）的預防、檢測、評估和復原。全數據。它建立了一個並行（Concurrent）
政府必須以身作則，所有政府資訊系統都的公私部門合作營運計畫（流程），研發

應滿足或超過本指令規定和發布的網路安新的創新方法來保護軟體開發，並利用聯
全標準和要求。邦採購的力量來推動。例如創建「能源之
1
星」類型的標籤，以便政府以及廣大群眾
二、消除公私部門之間共享威脅情資的障礙
可以快速確定軟體開發是否安全。

確保 IT 服務供應商能夠與政府共享威
五、建立網路安全審查委員會
脅情資，並要求供應商分享某些不願公開

或系統安全漏洞的情資。由於合約的規定，因應本項要求，將成立由政府和私營
IT 供應商常常猶豫或非自願共享此等訊息；部門共同主持的網路安全審查委員會，可

也有一種情況是供應商可能只是不願分享能會在發生重大網路事件後召開會議，分
有關自身安全漏洞的情資。因此，政府必析發生的事件並提出具體建議以改善網路

須消除任何合約障礙並要求供應商分享可安全。一直以來，組織經常重複過去的錯
能造成政府網路資訊外洩的情資。誤，並無從重大網路事件中吸取教訓。因

此，當發生問題時，政府和私營部門需要
三、聯邦政府精確落實更現代化的網路安
面對問題並進行必要的改進。
全標準
六、建立網路弱點事件之緊急應變的標準
過時的安全模型和未加密的數據將導
手冊
致公私部門的系統受到損害。政府必須帶

頭並增加對安全最佳實務的採用，諸如採組織不能等到他們受到威脅才思考如
用零信任安全模型、加速移動到安全雲服何因應攻擊。由最近的事件顯示，政府內

務以及持續建置多因子身分驗證和加密等部緊急應變計畫的成熟度差異很大。該手
基礎安全工具。冊將確保所有聯邦機構達到一定的門檻，

並準備採取統一措施來識別和減輕威脅，
四、強化軟體供應鏈安全性
此外亦可為私營部門提供標準作業程序

政府須建立一套軟體開發之安全標（SOP）。

準，以提高軟體的安全性，包括要求開發

1
提高能源效率的計畫。該計畫使用不同的標準化方法提供有關產品和設備能耗的訊息。

46 清流雙月刊

43 44 45 46 47 48 49 50 51 52 53