主页
管理應用程式風險
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
步驟 5：測量進度並展示相符性
進一步瞭解如何測量進度及展示相符性。
展示相符性
進一步瞭解如何示範相符性。
相符性報告
進一步瞭解「相符性」報告。
DISA STIG 3.9 版報告
《應用程式安全及開發安全技術實作手冊》(STIG) 提供在整個應用程式開發生命週期中使用的安全指引。「國防資訊系統局 (DISA)」鼓勵網站在應用程式開發程序中，儘早採用這些準則。

管理應用程式風險
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
- 步驟 1：建立應用程式庫存
  進一步瞭解如何建立應用程式庫存。
- 步驟 2：測試應用程式的漏洞
  進一步瞭解如何對應用程式中識別的漏洞進行測試。
- 步驟 3：判定風險及設定漏洞優先順序
  進一步瞭解如何對應用程式中識別的漏洞判斷風險及設定優先順序。
- 步驟 4：修補風險
  進一步瞭解如何對應用程式中識別的風險進行補救。
- 步驟 5：測量進度並展示相符性
  進一步瞭解如何測量進度及展示相符性。
  - 測量進度
    進一步瞭解如何追蹤您組合包含的應用程式的各種度量值和趨勢。
  - 展示相符性
    進一步瞭解如何示範相符性。
    - 將問題匯出成報告
      您可以產生問題的自訂報告（PDF、HTML 或 XML），並將它們傳送給開發人員、內部審核員、滲透測試人員、經理及 CISO。AppScan Enterprise 中的報告範本會將應用程式安全資料對映到主要政府法規與業界標準。使用報告來記載達成法規相符性目標的進度，如：顯示減少與相符性問題相關聯的應用程式漏洞數。
    - 限制安全報告的大小
      安全報告可能會很大。在產生報告期間，您可能會收到檔案長度有數百頁的警告訊息，或是建立報告程序可能逾時。請嘗試下列要訣來減少報告大小。
    - 相符性報告
      進一步瞭解「相符性」報告。
      - APRA PPG 234 -「在資訊和資訊技術中的安全風險管理」報告
        這份報告顯示您的網站上所找到不符合此法規的問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - Basel II 報告
        此 Basel II 依循性報告可藉由識別、監視和報告 Web 應用程式漏洞，來協助金融機構處理線上活動所衍生的作業風險。
      - 「加州眾議院法案編號 1950 及參議院法案 1386」報告
        這份報告顯示您的網站上所找到不符合這些法規的問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「1998 年兒童線上隱私保護法案」報告
        這份報告顯示在您的網站上找到的「兒童線上隱私保護法案 (COPPA)」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。附註：這份報告中的許多問題類似於 HIPAA 報告中的問題。如果兩份報告新增到單一儀表板中，問題總數會提高。如果要防止發生這個情況，您可以建立每份報告的個別標籤，或只新增其中一份報告到儀表板中。
      - 「英國資料保護法案」報告
        這份報告顯示在您的網站上找到的「資料保護法案」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「DCID 6/3 保護進階技術 IS」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反防護交互連接的資訊系統，以及防護採用進階技術之資訊系統的安全需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 基礎可用性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information within Information Systems" 手冊第 6 章所述基礎保護等級系統運作的可用性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「基礎」層次是指必須在彈性的延遲容忍度之下備妥資訊，或失去可用性會有所損害。
      - 「DCID 6/3 中等可用性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information within Information Systems" 手冊第 6 章所述中等保護等級系統運作的可用性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「中等」層次是指必須在最低延遲容忍度之下備妥資訊，或失去可用性可能造成人體傷害，或組織層面的利益損害。
      - 「DCID 6/3 高等可用性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information within Information Systems" 手冊第 6 章所述高等保護等級系統運作的可用性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「高等」層次是指一律必須隨需備妥資訊，無延遲容忍度。失去可用性可能造成生命損失、國家利益之損害或機密受侵害。
      - 「DCID 6/3 機密性要求保護等級 1」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 1 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 機密性要求保護等級 2」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 2 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 機密性要求保護等級 3」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 3 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 機密性要求保護等級 4」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 4 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 機密性要求保護等級 5」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 5 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 基礎完整性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 5 章所述基礎完整性層次系統運作的完整性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「基礎」層次是指合理抵制未獲授權進行修改，或失去完整性會有所損害。
      - 「DCID 6/3 中等完整性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 5 章所述中等完整性層次系統運作的完整性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「中等」層次是指非常抵制未獲授權進行修改，但並非絕對。中度失去完整性可能造成人體傷害，或組織層面的利益損害。
      - 「DCID 6/3 高等完整性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 5 章所述高等完整性層次系統運作的完整性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「高等」層次是指極為抵制未獲授權進行修改。高度失去完整性可能造成生命損失，或國家利益或機密的損害。
      - DISA STIG 3.9 版報告
        《應用程式安全及開發安全技術實作手冊》(STIG) 提供在整個應用程式開發生命週期中使用的安全指引。「國防資訊系統局 (DISA)」鼓勵網站在應用程式開發程序中，儘早採用這些準則。
      - 「DISA STIG 3.9 版第 1 類」報告
        《應用程式安全及開發安全技術實作手冊》(STIG) 提供在整個應用程式開發生命週期中使用的安全指引。「國防資訊系統局 (DISA)」鼓勵網站在應用程式開發程序中，儘早採用這些準則。
      - DoD 指令 8500.1 - 網路安全報告
        這份報告顯示在您網站上找到的問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「DoD 指令 8550.1 - 網際網路服務和網際網路型功能」報告
        這份報告顯示在您網站上找到的問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「電子金融轉帳法案和法規 E」報告
        這份報告顯示在您的網站上找到的 EFTA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「歐盟指令 1995/46/EC」報告
        這份報告顯示在您的網站上找到的「資料保護指令 (EU 1995/46/EC)」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「歐盟指令 2002/58/EC」報告
        這份報告顯示在您的網站上找到的「隱私權和電子通訊指令 (EU 2002/58/EC)」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「家庭教育權利與隱私權法案 (FERPA)」報告
        這份報告顯示在您網站上找到的 FERPA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「聯邦金融機構檢查委員會 (FFIEC)，資訊安全 IT 檢查手冊」報告
        這份報告顯示在您的網站上找到的 FFIEC 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「聯邦資訊安全管理法案 (FISMA)」報告
        這份報告顯示在您的網站上找到的 FISMA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「聯邦政府風險與授權管理計劃 (FedRAMP)」報告
        這份報告顯示在您的網站上找到的 FedRAMP 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「金融服務 (GLBA)」報告
        這份報告顯示在您的網站上找到的 GLBA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「資訊自由及隱私權保護法案 (FIPPA)」報告
        這份報告顯示在您網站上找到的 FIPPA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「1996 年醫療保險轉移和責任法案 (HIPAA)」報告
        這份報告顯示在您的網站上找到的 HIPAA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「日本個人資訊保護法案」報告
        這份報告顯示您的網站上所找到關於「日本個人資訊保護法案」的問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「麻塞諸塞州 201 CMR 17.00」報告
        此 MA 201 依循性報告可藉由識別、監視和報告 Web 應用程式漏洞，來協助金融機構處理線上活動所衍生的作業風險。
      - 「資訊技術安全管理 (MITS)」報告
        此 MITS 依循性報告可藉由識別、監視和報告 Web 應用程式漏洞，來協助金融機構處理線上活動所衍生的作業風險。
      - 「NERC CIPC 電力部門安全準則」報告
        這份報告顯示在您的網站上找到的「NERC CIPC 違規」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「PA-DSS（付款應用程式資料安全標準）3.0 版」報告
        此 PA-DSS 依循性報告可藉由識別、監視和報告 Web 應用程式漏洞，來協助金融機構處理線上活動所衍生的作業風險。
      - 「付款卡產業資料安全標準 (PCI) 3.0 版」報告
        這份報告顯示在您的網站上找到的 PCI 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「PIPED 法案」報告
        這份報告顯示在您的網站上找到的 PIPED 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「1974 隱私權法案」報告
        這份報告顯示在您的網站上找到的「1974 隱私權法案」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 歐盟理事會和歐洲議會 (GDPR) 之 2016/679 法案
        這份報告顯示在您的網站上找到的「一般資料保護規範 (GDPR)」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - Safe Harbor 報告
        這份報告顯示在您的網站上找到的「歐洲 Safe Harbor」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「2002 年沙賓法案 (SOX)」報告
        這份報告顯示在您的網站上找到的「沙賓」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「美國聯邦法規第 21 篇 (21 CFR) 第 11 條」報告
        這份報告顯示在您的網站上找到的 21CFR11（美國聯邦法規第 21 篇第 11 條）問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
    - 業界標準報告
      進一步瞭解業界標準報告。

DISA STIG 3.9 版報告

《應用程式安全及開發安全技術實作手冊》(STIG) 提供在整個應用程式開發生命週期中使用的安全指引。「國防資訊系統局 (DISA)」鼓勵網站在應用程式開發程序中，儘早採用這些準則。

摘要

《應用程式安全及開發安全技術實作手冊》(STIG) 提供在整個應用程式開發生命週期中使用的安全指引。「國防資訊系統局 (DISA)」鼓勵網站在應用程式開發程序中，儘早採用這些準則。

「應用程式安全及開發 STIG」提供提升安全應用程式開發、整合和更新所需的指引。本手冊中涵蓋的主旨包括：現有應用程式的開發、設計、測試、轉換和升級，以及維護、軟體配置管理、教育及訓練。

這份相符性報告有助於使用者瞭解並找出因掃描之應用程式目前的安全情勢，而可能存在的相符性問題。這份相符性報告使用 STIG 需求 ID，來參照 STIG 需求。此外，相符性報告還包含出現在 STIG 中的 STIG 需求嚴重性層次：

種類 I (CAT I) - 任何漏洞，此漏洞的運用會直接並立即導致喪失機密性、可用性或完整性。
種類 II (CAT II) - 任何漏洞，此漏洞的運用有可能導致喪失機密性、可用性或完整性。
種類 III (CAT III) - 任何漏洞，此漏洞的存在會導致用來防範喪失機密性、可用性或完整性的措施降級。

Rate this topic

5 stars 4 stars 3 stars 2 stars 1 star

Comment on this topic.

By clicking this box, you acknowledge that you are NOT a U.S. Federal Government employee or agency, nor are you submitting information with respect to or on behalf of one. HCL provides software and services to U.S. Federal Government customers through its partners immixGroup, Inc. Contact this team at https://hcltechsw.com/resources/us-government-contact. Do not include any personal data in this Comment box.