主页
管理應用程式風險
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
步驟 5：測量進度並展示相符性
進一步瞭解如何測量進度及展示相符性。
展示相符性
進一步瞭解如何示範相符性。
相符性報告
進一步瞭解「相符性」報告。
Safe Harbor 報告
這份報告顯示在您的網站上找到的「歐洲 Safe Harbor」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。

管理應用程式風險
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
- 步驟 1：建立應用程式庫存
  進一步瞭解如何建立應用程式庫存。
- 步驟 2：測試應用程式的漏洞
  進一步瞭解如何對應用程式中識別的漏洞進行測試。
- 步驟 3：判定風險及設定漏洞優先順序
  進一步瞭解如何對應用程式中識別的漏洞判斷風險及設定優先順序。
- 步驟 4：修補風險
  進一步瞭解如何對應用程式中識別的風險進行補救。
- 步驟 5：測量進度並展示相符性
  進一步瞭解如何測量進度及展示相符性。
  - 測量進度
    進一步瞭解如何追蹤您組合包含的應用程式的各種度量值和趨勢。
  - 展示相符性
    進一步瞭解如何示範相符性。
    - 將問題匯出成報告
      您可以產生問題的自訂報告（PDF、HTML 或 XML），並將它們傳送給開發人員、內部審核員、滲透測試人員、經理及 CISO。AppScan Enterprise 中的報告範本會將應用程式安全資料對映到主要政府法規與業界標準。使用報告來記載達成法規相符性目標的進度，如：顯示減少與相符性問題相關聯的應用程式漏洞數。
    - 限制安全報告的大小
      安全報告可能會很大。在產生報告期間，您可能會收到檔案長度有數百頁的警告訊息，或是建立報告程序可能逾時。請嘗試下列要訣來減少報告大小。
    - 相符性報告
      進一步瞭解「相符性」報告。
      - APRA PPG 234 -「在資訊和資訊技術中的安全風險管理」報告
        這份報告顯示您的網站上所找到不符合此法規的問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - Basel II 報告
        此 Basel II 依循性報告可藉由識別、監視和報告 Web 應用程式漏洞，來協助金融機構處理線上活動所衍生的作業風險。
      - 「加州眾議院法案編號 1950 及參議院法案 1386」報告
        這份報告顯示您的網站上所找到不符合這些法規的問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「1998 年兒童線上隱私保護法案」報告
        這份報告顯示在您的網站上找到的「兒童線上隱私保護法案 (COPPA)」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。附註：這份報告中的許多問題類似於 HIPAA 報告中的問題。如果兩份報告新增到單一儀表板中，問題總數會提高。如果要防止發生這個情況，您可以建立每份報告的個別標籤，或只新增其中一份報告到儀表板中。
      - 「英國資料保護法案」報告
        這份報告顯示在您的網站上找到的「資料保護法案」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「DCID 6/3 保護進階技術 IS」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反防護交互連接的資訊系統，以及防護採用進階技術之資訊系統的安全需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 基礎可用性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information within Information Systems" 手冊第 6 章所述基礎保護等級系統運作的可用性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「基礎」層次是指必須在彈性的延遲容忍度之下備妥資訊，或失去可用性會有所損害。
      - 「DCID 6/3 中等可用性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information within Information Systems" 手冊第 6 章所述中等保護等級系統運作的可用性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「中等」層次是指必須在最低延遲容忍度之下備妥資訊，或失去可用性可能造成人體傷害，或組織層面的利益損害。
      - 「DCID 6/3 高等可用性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information within Information Systems" 手冊第 6 章所述高等保護等級系統運作的可用性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「高等」層次是指一律必須隨需備妥資訊，無延遲容忍度。失去可用性可能造成生命損失、國家利益之損害或機密受侵害。
      - 「DCID 6/3 機密性要求保護等級 1」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 1 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 機密性要求保護等級 2」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 2 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 機密性要求保護等級 3」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 3 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 機密性要求保護等級 4」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 4 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 機密性要求保護等級 5」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 5 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 基礎完整性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 5 章所述基礎完整性層次系統運作的完整性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「基礎」層次是指合理抵制未獲授權進行修改，或失去完整性會有所損害。
      - 「DCID 6/3 中等完整性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 5 章所述中等完整性層次系統運作的完整性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「中等」層次是指非常抵制未獲授權進行修改，但並非絕對。中度失去完整性可能造成人體傷害，或組織層面的利益損害。
      - 「DCID 6/3 高等完整性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 5 章所述高等完整性層次系統運作的完整性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「高等」層次是指極為抵制未獲授權進行修改。高度失去完整性可能造成生命損失，或國家利益或機密的損害。
      - DISA STIG 3.9 版報告
        《應用程式安全及開發安全技術實作手冊》(STIG) 提供在整個應用程式開發生命週期中使用的安全指引。「國防資訊系統局 (DISA)」鼓勵網站在應用程式開發程序中，儘早採用這些準則。
      - 「DISA STIG 3.9 版第 1 類」報告
        《應用程式安全及開發安全技術實作手冊》(STIG) 提供在整個應用程式開發生命週期中使用的安全指引。「國防資訊系統局 (DISA)」鼓勵網站在應用程式開發程序中，儘早採用這些準則。
      - DoD 指令 8500.1 - 網路安全報告
        這份報告顯示在您網站上找到的問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「DoD 指令 8550.1 - 網際網路服務和網際網路型功能」報告
        這份報告顯示在您網站上找到的問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「電子金融轉帳法案和法規 E」報告
        這份報告顯示在您的網站上找到的 EFTA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「歐盟指令 1995/46/EC」報告
        這份報告顯示在您的網站上找到的「資料保護指令 (EU 1995/46/EC)」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「歐盟指令 2002/58/EC」報告
        這份報告顯示在您的網站上找到的「隱私權和電子通訊指令 (EU 2002/58/EC)」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「家庭教育權利與隱私權法案 (FERPA)」報告
        這份報告顯示在您網站上找到的 FERPA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「聯邦金融機構檢查委員會 (FFIEC)，資訊安全 IT 檢查手冊」報告
        這份報告顯示在您的網站上找到的 FFIEC 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「聯邦資訊安全管理法案 (FISMA)」報告
        這份報告顯示在您的網站上找到的 FISMA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「聯邦政府風險與授權管理計劃 (FedRAMP)」報告
        這份報告顯示在您的網站上找到的 FedRAMP 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「金融服務 (GLBA)」報告
        這份報告顯示在您的網站上找到的 GLBA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「資訊自由及隱私權保護法案 (FIPPA)」報告
        這份報告顯示在您網站上找到的 FIPPA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「1996 年醫療保險轉移和責任法案 (HIPAA)」報告
        這份報告顯示在您的網站上找到的 HIPAA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「日本個人資訊保護法案」報告
        這份報告顯示您的網站上所找到關於「日本個人資訊保護法案」的問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「麻塞諸塞州 201 CMR 17.00」報告
        此 MA 201 依循性報告可藉由識別、監視和報告 Web 應用程式漏洞，來協助金融機構處理線上活動所衍生的作業風險。
      - 「資訊技術安全管理 (MITS)」報告
        此 MITS 依循性報告可藉由識別、監視和報告 Web 應用程式漏洞，來協助金融機構處理線上活動所衍生的作業風險。
      - 「NERC CIPC 電力部門安全準則」報告
        這份報告顯示在您的網站上找到的「NERC CIPC 違規」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「PA-DSS（付款應用程式資料安全標準）3.0 版」報告
        此 PA-DSS 依循性報告可藉由識別、監視和報告 Web 應用程式漏洞，來協助金融機構處理線上活動所衍生的作業風險。
      - 「付款卡產業資料安全標準 (PCI) 3.0 版」報告
        這份報告顯示在您的網站上找到的 PCI 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「PIPED 法案」報告
        這份報告顯示在您的網站上找到的 PIPED 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「1974 隱私權法案」報告
        這份報告顯示在您的網站上找到的「1974 隱私權法案」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 歐盟理事會和歐洲議會 (GDPR) 之 2016/679 法案
        這份報告顯示在您的網站上找到的「一般資料保護規範 (GDPR)」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - Safe Harbor 報告
        這份報告顯示在您的網站上找到的「歐洲 Safe Harbor」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「2002 年沙賓法案 (SOX)」報告
        這份報告顯示在您的網站上找到的「沙賓」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「美國聯邦法規第 21 篇 (21 CFR) 第 11 條」報告
        這份報告顯示在您的網站上找到的 21CFR11（美國聯邦法規第 21 篇第 11 條）問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
    - 業界標準報告
      進一步瞭解業界標準報告。

Safe Harbor 報告

這份報告顯示在您的網站上找到的「歐洲 Safe Harbor」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。

重要性

歐盟的綜合性隱私權法律「資料保護指令」要求個人資料只能傳到提供了適當等級之隱私權保護的非歐盟國家和地區。Safe Harbor 法律適用於總部在美國的組織、美國以外國家和地區之公司的美國子公司，以及歐洲企業的商業夥伴。雖然美國和歐盟對於加強公民隱私權保護的目標是相同的，但美國所採用的隱私權方式與歐洲共同體並不相同；因此，「美國商務部」擬訂 "safe harbor" 架構來簡化美國公司遵循「EU 指令」的程序：

通知個人收集資料的明確用途
選擇拒絕向第三方或其他用途揭露（機密性資訊為接受）
要求接收個人資訊的第三方代理人提供同等級的隱私權保護
接受個人用來存取所保留之個人資訊的方法
採取對於遺失、誤用或未獲授權擅自存取的合理預防措施
保持資料在預定用途上的可靠度
提供備妥可用的求助機制
提供原則實作的驗證程序

符合 Safe Harbor 的最佳實務

提供綜合性的隱私權注意事項，詳列所有資料收集和用途
在資料收集表單上，提供接受/拒絕機制
檢閱第三方網站是否符合關鍵的隱私權原則
實作在線上收集個人資訊的安全防護，尤其是機密性資訊
實作不間斷的監視程序，在線上驗證是否持續符合 EU Safe Harbor 原則

Rate this topic

5 stars 4 stars 3 stars 2 stars 1 star

Comment on this topic.

By clicking this box, you acknowledge that you are NOT a U.S. Federal Government employee or agency, nor are you submitting information with respect to or on behalf of one. HCL provides software and services to U.S. Federal Government customers through its partners immixGroup, Inc. Contact this team at https://hcltechsw.com/resources/us-government-contact. Do not include any personal data in this Comment box.