2013年12月20日 星期五

2013年-電子商務安全-電子商務的安全服務


在資訊安全方面,電子商務業者如果想要採用委外的安全服務,基本上可以選擇以下範疇的安全服務。

  • 資安產品服務:


針對資安防禦的部分,業者需要購置基礎的安全設備,常見的包括網路防火牆、應用程式防火牆、入侵偵測與入侵防禦系統等,在評估建置這些產品之前,廠商可以協助規劃和測試,然後業者在所簽訂的維護合約之中,應納入後續所需的維護服務與技術支援內容,確保相關安全設備能夠持續且正常地運作。

  • 資安顧問服務:


針對資安管理方面,業者若想要建立完整的資訊安全管理制度,就可以考慮導入如ISO 27001國際資安管理標準,或是TPIPAS個資保護制度,透過文件化且可驗證的方式,強化自身的安全管理,這部分也可尋求外部顧問提供所需的協助。

  • 弱點掃瞄服務:


為了降低電子商務網站可能潛藏的弱點,避免受到惡意人士的不當利用和入侵,業者可以尋求資安廠商的協助,定期地針對網站來實施弱點掃瞄,針對所發現的安全弱點,廠商可以提供修補的建議方法,並且協助業者來進行改善。

  • 資安監控服務:


面對日新月異來自世界各地可能的惡意攻擊,業者可以藉由資安廠商所提供的資安監控中心(SOC),協助監控網站和系統上的各項活動,並且進行異常事件診斷回應,甚至更進一步提供即時的應變處理,以確保電子商務運作的安全。




在採用委外的安全服務時,根據政府的資訊作業委外安全參考指引中所提到,電子商務業者應該要有一個事前規劃、事中評估和事後維運的機制,了解所需的相關服務內容,設立各項服務水準的指標,並且將這些要求納入合約之中,以確保廠商能夠有明確的文件化要求,依此執行並提供所需的各項安全服務。

此外,建議業者在評選資安服務廠商時,也務必要針對服務廠商的專業資格進行審查,例如廠商本身是否具有產品合法的代理權、是否已經取得了ISO 27001國際認證或TPIPAS的輔導資格,以及相關參與資安委外服務的專案人員,是否具備業界認可的國際證照如CISSP、CEH、CISM等資安專家認證,同時也要求廠商不得將所承接的服務內容,再次轉包給其他廠商,以避免未知的安全風險。

對台灣為數眾多的電子商務業者而言,隨著交易量的不斷成長,以及所保有的客戶資料愈來愈多,再加上日新月異的攻擊手法與入侵行為,若要單靠一己之力來對抗所有的安全風險,通常是很難能夠達成線上交易與資訊安全的目標。因此,為了強化業者的資安防護能力,確保民眾交易資料的安全,經濟部商業司成立了以下四項計畫,協助電子商務業者來持續改善資訊安全。


1、 提供人員教育訓練:


藉由不斷地增強人員的資安意識,協助業者建立資訊安全與資料防護的各項觀念,除了必要的安全技術提昇,更從經營管理層面來確保網站的持續營運與資料備份安全。

2、 建立網站身分識別標章:


由經濟部所主導的「電子商務網路交易安全宣導計畫」,包括了EV SSL數位憑證導入、網頁掛馬監測服務,以及輔導申請網站身分識別標章,目前已有超過150家以上的電子商務網站順利地建置完成。此一標章主要是以多重的檢核項目和機制,在網站上採取動態的顯示方式,讓民眾可以很容易地識別並信任所瀏覽的網站,為一合法登記且經過安全認可的網頁內容,讓線上交易能夠獲得更多的保障。

3、 推動個資管理制度與隱私標章:


從2010年開始,經濟部商業司即著手推動「台灣個人資料保護管理制度(TPIPAS)」及建立「資料隱私保護標章(Data Privacy Protection Mark, DP Mark)」,在建立個人資料保護管理制度並獲得標章之後,可以展現業者對於個人資料保護的決心和已實行的安全控制措施,有助於提升消費者的信賴感,同時也遵行了個資法規的要求。

4、 建置資安通報服務平台:


除了透過電子商務安全交易規範,兼顧網路平台交易安全、物流商交易安全及供應商交易安全之外,業者更可藉由經濟部商業司所成立的電子商務資安服務中心(EC-CERT),作為資安事件的通報平台,透過彼此資安聯防與資訊的分享,讓電子商務業者能夠獲得及時的資安趨勢與防護作法,以求全面提昇業者的資安防護能力。


圖5 EC-CERT是電子商務業者資安聯防的最佳平台
資料來源:http://ec-cert.org.tw/,2013年


沒有留言:

張貼留言