主页
管理應用程式風險
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
步驟 5：測量進度並展示相符性
進一步瞭解如何測量進度及展示相符性。
展示相符性
進一步瞭解如何示範相符性。
相符性報告
進一步瞭解「相符性」報告。
「金融服務 (GLBA)」報告
這份報告顯示在您的網站上找到的 GLBA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。

管理應用程式風險
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
- 步驟 1：建立應用程式庫存
  進一步瞭解如何建立應用程式庫存。
- 步驟 2：測試應用程式的漏洞
  進一步瞭解如何對應用程式中識別的漏洞進行測試。
- 步驟 3：判定風險及設定漏洞優先順序
  進一步瞭解如何對應用程式中識別的漏洞判斷風險及設定優先順序。
- 步驟 4：修補風險
  進一步瞭解如何對應用程式中識別的風險進行補救。
- 步驟 5：測量進度並展示相符性
  進一步瞭解如何測量進度及展示相符性。
  - 測量進度
    進一步瞭解如何追蹤您組合包含的應用程式的各種度量值和趨勢。
  - 展示相符性
    進一步瞭解如何示範相符性。
    - 將問題匯出成報告
      您可以產生問題的自訂報告（PDF、HTML 或 XML），並將它們傳送給開發人員、內部審核員、滲透測試人員、經理及 CISO。AppScan Enterprise 中的報告範本會將應用程式安全資料對映到主要政府法規與業界標準。使用報告來記載達成法規相符性目標的進度，如：顯示減少與相符性問題相關聯的應用程式漏洞數。
    - 限制安全報告的大小
      安全報告可能會很大。在產生報告期間，您可能會收到檔案長度有數百頁的警告訊息，或是建立報告程序可能逾時。請嘗試下列要訣來減少報告大小。
    - 相符性報告
      進一步瞭解「相符性」報告。
      - APRA PPG 234 -「在資訊和資訊技術中的安全風險管理」報告
        這份報告顯示您的網站上所找到不符合此法規的問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - Basel II 報告
        此 Basel II 依循性報告可藉由識別、監視和報告 Web 應用程式漏洞，來協助金融機構處理線上活動所衍生的作業風險。
      - 「加州眾議院法案編號 1950 及參議院法案 1386」報告
        這份報告顯示您的網站上所找到不符合這些法規的問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「1998 年兒童線上隱私保護法案」報告
        這份報告顯示在您的網站上找到的「兒童線上隱私保護法案 (COPPA)」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。附註：這份報告中的許多問題類似於 HIPAA 報告中的問題。如果兩份報告新增到單一儀表板中，問題總數會提高。如果要防止發生這個情況，您可以建立每份報告的個別標籤，或只新增其中一份報告到儀表板中。
      - 「英國資料保護法案」報告
        這份報告顯示在您的網站上找到的「資料保護法案」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「DCID 6/3 保護進階技術 IS」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反防護交互連接的資訊系統，以及防護採用進階技術之資訊系統的安全需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 基礎可用性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information within Information Systems" 手冊第 6 章所述基礎保護等級系統運作的可用性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「基礎」層次是指必須在彈性的延遲容忍度之下備妥資訊，或失去可用性會有所損害。
      - 「DCID 6/3 中等可用性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information within Information Systems" 手冊第 6 章所述中等保護等級系統運作的可用性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「中等」層次是指必須在最低延遲容忍度之下備妥資訊，或失去可用性可能造成人體傷害，或組織層面的利益損害。
      - 「DCID 6/3 高等可用性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information within Information Systems" 手冊第 6 章所述高等保護等級系統運作的可用性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「高等」層次是指一律必須隨需備妥資訊，無延遲容忍度。失去可用性可能造成生命損失、國家利益之損害或機密受侵害。
      - 「DCID 6/3 機密性要求保護等級 1」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 1 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 機密性要求保護等級 2」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 2 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 機密性要求保護等級 3」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 3 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 機密性要求保護等級 4」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 4 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 機密性要求保護等級 5」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 5 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 基礎完整性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 5 章所述基礎完整性層次系統運作的完整性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「基礎」層次是指合理抵制未獲授權進行修改，或失去完整性會有所損害。
      - 「DCID 6/3 中等完整性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 5 章所述中等完整性層次系統運作的完整性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「中等」層次是指非常抵制未獲授權進行修改，但並非絕對。中度失去完整性可能造成人體傷害，或組織層面的利益損害。
      - 「DCID 6/3 高等完整性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 5 章所述高等完整性層次系統運作的完整性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「高等」層次是指極為抵制未獲授權進行修改。高度失去完整性可能造成生命損失，或國家利益或機密的損害。
      - DISA STIG 3.9 版報告
        《應用程式安全及開發安全技術實作手冊》(STIG) 提供在整個應用程式開發生命週期中使用的安全指引。「國防資訊系統局 (DISA)」鼓勵網站在應用程式開發程序中，儘早採用這些準則。
      - 「DISA STIG 3.9 版第 1 類」報告
        《應用程式安全及開發安全技術實作手冊》(STIG) 提供在整個應用程式開發生命週期中使用的安全指引。「國防資訊系統局 (DISA)」鼓勵網站在應用程式開發程序中，儘早採用這些準則。
      - DoD 指令 8500.1 - 網路安全報告
        這份報告顯示在您網站上找到的問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「DoD 指令 8550.1 - 網際網路服務和網際網路型功能」報告
        這份報告顯示在您網站上找到的問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「電子金融轉帳法案和法規 E」報告
        這份報告顯示在您的網站上找到的 EFTA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「歐盟指令 1995/46/EC」報告
        這份報告顯示在您的網站上找到的「資料保護指令 (EU 1995/46/EC)」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「歐盟指令 2002/58/EC」報告
        這份報告顯示在您的網站上找到的「隱私權和電子通訊指令 (EU 2002/58/EC)」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「家庭教育權利與隱私權法案 (FERPA)」報告
        這份報告顯示在您網站上找到的 FERPA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「聯邦金融機構檢查委員會 (FFIEC)，資訊安全 IT 檢查手冊」報告
        這份報告顯示在您的網站上找到的 FFIEC 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「聯邦資訊安全管理法案 (FISMA)」報告
        這份報告顯示在您的網站上找到的 FISMA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「聯邦政府風險與授權管理計劃 (FedRAMP)」報告
        這份報告顯示在您的網站上找到的 FedRAMP 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「金融服務 (GLBA)」報告
        這份報告顯示在您的網站上找到的 GLBA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「資訊自由及隱私權保護法案 (FIPPA)」報告
        這份報告顯示在您網站上找到的 FIPPA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「1996 年醫療保險轉移和責任法案 (HIPAA)」報告
        這份報告顯示在您的網站上找到的 HIPAA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「日本個人資訊保護法案」報告
        這份報告顯示您的網站上所找到關於「日本個人資訊保護法案」的問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「麻塞諸塞州 201 CMR 17.00」報告
        此 MA 201 依循性報告可藉由識別、監視和報告 Web 應用程式漏洞，來協助金融機構處理線上活動所衍生的作業風險。
      - 「資訊技術安全管理 (MITS)」報告
        此 MITS 依循性報告可藉由識別、監視和報告 Web 應用程式漏洞，來協助金融機構處理線上活動所衍生的作業風險。
      - 「NERC CIPC 電力部門安全準則」報告
        這份報告顯示在您的網站上找到的「NERC CIPC 違規」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「PA-DSS（付款應用程式資料安全標準）3.0 版」報告
        此 PA-DSS 依循性報告可藉由識別、監視和報告 Web 應用程式漏洞，來協助金融機構處理線上活動所衍生的作業風險。
      - 「付款卡產業資料安全標準 (PCI) 3.0 版」報告
        這份報告顯示在您的網站上找到的 PCI 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「PIPED 法案」報告
        這份報告顯示在您的網站上找到的 PIPED 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「1974 隱私權法案」報告
        這份報告顯示在您的網站上找到的「1974 隱私權法案」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 歐盟理事會和歐洲議會 (GDPR) 之 2016/679 法案
        這份報告顯示在您的網站上找到的「一般資料保護規範 (GDPR)」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - Safe Harbor 報告
        這份報告顯示在您的網站上找到的「歐洲 Safe Harbor」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「2002 年沙賓法案 (SOX)」報告
        這份報告顯示在您的網站上找到的「沙賓」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「美國聯邦法規第 21 篇 (21 CFR) 第 11 條」報告
        這份報告顯示在您的網站上找到的 21CFR11（美國聯邦法規第 21 篇第 11 條）問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
    - 業界標準報告
      進一步瞭解業界標準報告。

「金融服務 (GLBA)」報告

這份報告顯示在您的網站上找到的 GLBA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。

重要性

1999 年的「金融服務業現代化法案」通稱為「葛拉漢法案 (GLBA)」，其中包括保護金融機構所持有消費者個人金融資訊的規定。這個法案撤銷了蕭條時期區隔銀行業、保險業和證券業的障礙，容許美國金融服務提供者（包括銀行、證券公司和保除公司）彼此密切聯繫，進入對方的巿場。這個法律旨在確保金融機構能夠保護機密的客戶資訊，以防駭客經由具備網路功能的環境來存取的可能性（包括網際網路連線功能和管理安排）。「防護規則」在 2003 年生效，要求採取主導性步驟來確保客戶資訊的自由安全。

雖然這個法律使美國金融景觀現代化，但它也含有重大的個人隱私權和安全元素，其中包括：

以年度為基礎，對於應用程式的綜合性隱私權注意事項規定。隱私權注意事項應該包括：機構收集客戶的哪些相關資訊、與誰分享這些資訊，以及如何防護這些資訊。
用來識別及評量可能威脅客戶資訊之風險的詳細安全原則規定。原則必須描述機構用來實作安全計劃的明確安全措施。
對於與無關的第三方公司進行任何個人資訊分享，得加以拒絕的權利規定。隱私權注意事項必須說明客戶得如何拒絕。隱私權注意事項也必須說明，對於與客戶金融機構之成員，在特定資訊上的分享，如信用報告或申請資訊，客戶有權拒絕。
實作重要安全防護。

符合 GLBA 的最佳實務

在所有線上應用點上，提供隱私權注意事項。
確定在某些線上資訊收集點上，備有拒絕注意事項和機制。
對於線上收集金融資訊，實作安全防護。
確定個人金融資訊未違反分享規則而傳給第三方。
保護客戶記錄的安全或完整性，以免於預料中的危害威脅。
保護這些記錄或資訊，以免遭受會使客戶受到實質傷害或不便的未獲授權之存取或使用。

Rate this topic

5 stars 4 stars 3 stars 2 stars 1 star

Comment on this topic.

By clicking this box, you acknowledge that you are NOT a U.S. Federal Government employee or agency, nor are you submitting information with respect to or on behalf of one. HCL provides software and services to U.S. Federal Government customers through its partners immixGroup, Inc. Contact this team at https://hcltechsw.com/resources/us-government-contact. Do not include any personal data in this Comment box.