MJIB










            四、設立網路安全審查委員會，由政府和

                 私部門負責人共同主持。委員會有權
                 在重大網路事件發生後召開會議，分

                 析原因並提出改善建議。


            五、建立標準化手冊，確保所有聯邦機構
                 符合一定的技術門檻，並採取一致
                 性步驟來識別和減緩資安威脅。另

                 強化聯邦政府內之端點偵測和回應

                 （Endpoint Detection and Response,
                 EDR）系統，並改善資訊分享機制以
                 提升網路安全能力。
                                                                   EO-14028 行政命令設立網路安全審查委員
                                                                   會，由政府和私部門負責人共同主持。（Photo
            六、要求聯邦制訂網路安全事件日誌之規                                     Credit: Homeland Security twitter, https://twitter.com/

                 範，以提高有關入侵偵測、緩解駭侵                                  DHSgov/status/1489254258897666055）

                 行為以及認定資安事件程度的能力。

                 另為確保聯邦政府軟體供應鏈安全，

            EO-14028 要求採取下列措施：               6


            一、聯邦政府應推廣採用自動化工具或類
                 似流程，來維護可信任之原始碼供應

                 鏈，進而確保其完整性。


            二、採用自動化工具或類似之流程來檢查
                 已知與潛在漏洞並進行修復，該工具

                 或流程應定期運作，或至少在產品、
                 版本或更新發布前運作。


            三、為促進開發商和供應商提供更安全的                                      EO-14028 行政命令建立標準化手冊，確保

                 供應鏈，應採行於網站上發布等公開                                   聯邦機構符合一定的技術門檻，並採取一
                                                                    致性步驟來識別和減緩資安威脅。（Source:
                 等方式，向購買者提供產品或資訊專                                   CISA, https://cisa.gov/sites/default/files/2024-03/
                                                                    Federal_Government_Cybersecurity_Incident_and_
                 案之「軟體物料清單」。                                        Vulnerability_Response_Playbooks_508C.pdf）





            6   參見EO-14028, Sec. 4. Enhancing Software Supply Chain Security, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/exe
              cutive-order-on-improving-the-nations-cybersecurity.


         48 清流雙月刊