【資安訊息】美國國土安全部網路安全暨基礎安全局（CISA）分享遠距工作指南，提供參考運用

主旨：【資安訊息】美國國土安全部網路安全暨基礎安全局（CISA）分享遠距工作指南，提供參考運用

• 內容說明：
  • 轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-202106-1136。
  • 技服中心綜整摘要美國國土安全部網路安全暨基礎安全局（CISA）分享之遠距工作指南提供參考運用，摘要如建議措施，詳細內容請參考CISA連結。
• 影響平台: N/A
• 建議措施:
  1. 組織高層指南
     1. 資安政策與程序
        1. 檢視與更新資安政策與程序，以因應遠距辦公之資安風險。
        2. 明確訂定遠距辦公應有之資安意識與資安要求。
     2. 資安訓練
        • 運用資安訓練以增進員工資安知識與了解現行資安威脅，讓員工遠距辦公也能依資安要求存取系統與資料。
     3. 非公務設備
        1. 制定資安政策以因應遠距辦公之資安風險，如在家列印、使用非公務電子郵件及使用非公務儲存設備等規範。
        2. 政策應涵蓋遠距辦公使用之公務設備、非公務設備、行動裝置及家用網路之安全性設定與安全性更新。
     4. 新辦公型態之網路安全
        1. 因應遠距、分流及異地辦公，應制定基本「網路衛生(Cyber Hygiene)」政策。
        2. 網路衛生政策應涵蓋網路釣魚防護、安全性更新及可攜式儲存媒體使用等，並定期向員工宣導最新政策。
  2. 資訊人員指南
     1. 安全性更新與漏洞管理
        1. 確認軟硬體資訊資產之正確性。
        2. 確保即時更新安全性修補與執行弱點掃描。
        3. 啟用自動化更新安全性修補機制。
     2. 資安管控機制
        1. 運用資安管控機制，確保連線安全性。
        2. 運用零信任原則進行遠端VPN存取。
        3. 檢視現有資安防護架構，確保服務存取安全性。
     3. 多因子身分鑑別
        1. 運用多因子進行遠端存取身分鑑別。
        2. 制定應急計畫或替代方案以因應多因子身分鑑別失效。
     4. 軟硬體白名單
        1. 建立組織核可之軟硬體設備白名單，包括協同合作工具與視訊會議軟體。
        2. 提供員工相關軟硬體之安全操作手冊。
     5. 定期備份
        1. 定期備份組織重要系統與檔案。
        2. 定期確認備份可以回復。
        3. 確保離線與異地存放備份。
     6. 強化電子郵件安全性
        • 運用Domain-Based Message Authentication, Reporting & Conformance (DMARC)機制，強化電子郵件安全性，防護釣魚郵件與商業電子郵件詐騙。
  3. 遠距辦公人員指南
     1. 強化資安設定
        1. 變更家用網路設備預設通行碼，並使用高複雜度強化設定通行碼。
        2. 無線網路應使用WPA2或WPA3加密協定，停用不安全之WEP與WPA協定。
        3. 避免使用實際地址與設備資訊設定無線網路SSID。
     2. 遵守資安政策與規範
        1. 應依組織資安政策，處理業務所需接觸之個人資料、機敏文件、客戶資料等。
        2. 避免在非公務設備上儲存與傳送業務所需接觸之個人資料、機敏文件、客戶資料等。
        3. 應依組織資安規範，確保遠距辦公使用之設備已符合資安要求，如通行碼身分鑑別與防毒軟體安裝。
     3. 電子郵件安全
        1. 小心開啟電子郵件附件與點擊郵件中之連結。
        2. 注意釣魚郵件與社交工程郵件。
     4. 通報可疑活動
        1. 確認自己知道可疑活動之通報連絡方式與窗口。
        2. 即時通報可疑活動。
• 參考資料:
  1. CISA-TELEWORK GUIDANCE AND RESOURCES https://www.cisa.gov/telework
  2. CISA-TELEWORK ESSENTIALS TOOLKIT https://www.cisa.gov/publication/telework-essentials-toolkit

計算機與通訊中心
網路系統組 敬啟