主页
管理應用程式風險
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
步驟 5：測量進度並展示相符性
進一步瞭解如何測量進度及展示相符性。
展示相符性
進一步瞭解如何示範相符性。
相符性報告
進一步瞭解「相符性」報告。
「2002 年沙賓法案 (SOX)」報告
這份報告顯示在您的網站上找到的「沙賓」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。

管理應用程式風險
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
- 步驟 1：建立應用程式庫存
  進一步瞭解如何建立應用程式庫存。
- 步驟 2：測試應用程式的漏洞
  進一步瞭解如何對應用程式中識別的漏洞進行測試。
- 步驟 3：判定風險及設定漏洞優先順序
  進一步瞭解如何對應用程式中識別的漏洞判斷風險及設定優先順序。
- 步驟 4：修補風險
  進一步瞭解如何對應用程式中識別的風險進行補救。
- 步驟 5：測量進度並展示相符性
  進一步瞭解如何測量進度及展示相符性。
  - 測量進度
    進一步瞭解如何追蹤您組合包含的應用程式的各種度量值和趨勢。
  - 展示相符性
    進一步瞭解如何示範相符性。
    - 將問題匯出成報告
      您可以產生問題的自訂報告（PDF、HTML 或 XML），並將它們傳送給開發人員、內部審核員、滲透測試人員、經理及 CISO。AppScan Enterprise 中的報告範本會將應用程式安全資料對映到主要政府法規與業界標準。使用報告來記載達成法規相符性目標的進度，如：顯示減少與相符性問題相關聯的應用程式漏洞數。
    - 限制安全報告的大小
      安全報告可能會很大。在產生報告期間，您可能會收到檔案長度有數百頁的警告訊息，或是建立報告程序可能逾時。請嘗試下列要訣來減少報告大小。
    - 相符性報告
      進一步瞭解「相符性」報告。
      - APRA PPG 234 -「在資訊和資訊技術中的安全風險管理」報告
        這份報告顯示您的網站上所找到不符合此法規的問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - Basel II 報告
        此 Basel II 依循性報告可藉由識別、監視和報告 Web 應用程式漏洞，來協助金融機構處理線上活動所衍生的作業風險。
      - 「加州眾議院法案編號 1950 及參議院法案 1386」報告
        這份報告顯示您的網站上所找到不符合這些法規的問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「1998 年兒童線上隱私保護法案」報告
        這份報告顯示在您的網站上找到的「兒童線上隱私保護法案 (COPPA)」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。附註：這份報告中的許多問題類似於 HIPAA 報告中的問題。如果兩份報告新增到單一儀表板中，問題總數會提高。如果要防止發生這個情況，您可以建立每份報告的個別標籤，或只新增其中一份報告到儀表板中。
      - 「英國資料保護法案」報告
        這份報告顯示在您的網站上找到的「資料保護法案」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「DCID 6/3 保護進階技術 IS」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反防護交互連接的資訊系統，以及防護採用進階技術之資訊系統的安全需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 基礎可用性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information within Information Systems" 手冊第 6 章所述基礎保護等級系統運作的可用性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「基礎」層次是指必須在彈性的延遲容忍度之下備妥資訊，或失去可用性會有所損害。
      - 「DCID 6/3 中等可用性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information within Information Systems" 手冊第 6 章所述中等保護等級系統運作的可用性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「中等」層次是指必須在最低延遲容忍度之下備妥資訊，或失去可用性可能造成人體傷害，或組織層面的利益損害。
      - 「DCID 6/3 高等可用性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information within Information Systems" 手冊第 6 章所述高等保護等級系統運作的可用性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「高等」層次是指一律必須隨需備妥資訊，無延遲容忍度。失去可用性可能造成生命損失、國家利益之損害或機密受侵害。
      - 「DCID 6/3 機密性要求保護等級 1」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 1 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 機密性要求保護等級 2」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 2 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 機密性要求保護等級 3」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 3 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 機密性要求保護等級 4」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 4 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 機密性要求保護等級 5」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 5 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 基礎完整性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 5 章所述基礎完整性層次系統運作的完整性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「基礎」層次是指合理抵制未獲授權進行修改，或失去完整性會有所損害。
      - 「DCID 6/3 中等完整性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 5 章所述中等完整性層次系統運作的完整性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「中等」層次是指非常抵制未獲授權進行修改，但並非絕對。中度失去完整性可能造成人體傷害，或組織層面的利益損害。
      - 「DCID 6/3 高等完整性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 5 章所述高等完整性層次系統運作的完整性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「高等」層次是指極為抵制未獲授權進行修改。高度失去完整性可能造成生命損失，或國家利益或機密的損害。
      - DISA STIG 3.9 版報告
        《應用程式安全及開發安全技術實作手冊》(STIG) 提供在整個應用程式開發生命週期中使用的安全指引。「國防資訊系統局 (DISA)」鼓勵網站在應用程式開發程序中，儘早採用這些準則。
      - 「DISA STIG 3.9 版第 1 類」報告
        《應用程式安全及開發安全技術實作手冊》(STIG) 提供在整個應用程式開發生命週期中使用的安全指引。「國防資訊系統局 (DISA)」鼓勵網站在應用程式開發程序中，儘早採用這些準則。
      - DoD 指令 8500.1 - 網路安全報告
        這份報告顯示在您網站上找到的問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「DoD 指令 8550.1 - 網際網路服務和網際網路型功能」報告
        這份報告顯示在您網站上找到的問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「電子金融轉帳法案和法規 E」報告
        這份報告顯示在您的網站上找到的 EFTA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「歐盟指令 1995/46/EC」報告
        這份報告顯示在您的網站上找到的「資料保護指令 (EU 1995/46/EC)」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「歐盟指令 2002/58/EC」報告
        這份報告顯示在您的網站上找到的「隱私權和電子通訊指令 (EU 2002/58/EC)」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「家庭教育權利與隱私權法案 (FERPA)」報告
        這份報告顯示在您網站上找到的 FERPA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「聯邦金融機構檢查委員會 (FFIEC)，資訊安全 IT 檢查手冊」報告
        這份報告顯示在您的網站上找到的 FFIEC 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「聯邦資訊安全管理法案 (FISMA)」報告
        這份報告顯示在您的網站上找到的 FISMA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「聯邦政府風險與授權管理計劃 (FedRAMP)」報告
        這份報告顯示在您的網站上找到的 FedRAMP 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「金融服務 (GLBA)」報告
        這份報告顯示在您的網站上找到的 GLBA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「資訊自由及隱私權保護法案 (FIPPA)」報告
        這份報告顯示在您網站上找到的 FIPPA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「1996 年醫療保險轉移和責任法案 (HIPAA)」報告
        這份報告顯示在您的網站上找到的 HIPAA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「日本個人資訊保護法案」報告
        這份報告顯示您的網站上所找到關於「日本個人資訊保護法案」的問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「麻塞諸塞州 201 CMR 17.00」報告
        此 MA 201 依循性報告可藉由識別、監視和報告 Web 應用程式漏洞，來協助金融機構處理線上活動所衍生的作業風險。
      - 「資訊技術安全管理 (MITS)」報告
        此 MITS 依循性報告可藉由識別、監視和報告 Web 應用程式漏洞，來協助金融機構處理線上活動所衍生的作業風險。
      - 「NERC CIPC 電力部門安全準則」報告
        這份報告顯示在您的網站上找到的「NERC CIPC 違規」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「PA-DSS（付款應用程式資料安全標準）3.0 版」報告
        此 PA-DSS 依循性報告可藉由識別、監視和報告 Web 應用程式漏洞，來協助金融機構處理線上活動所衍生的作業風險。
      - 「付款卡產業資料安全標準 (PCI) 3.0 版」報告
        這份報告顯示在您的網站上找到的 PCI 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「PIPED 法案」報告
        這份報告顯示在您的網站上找到的 PIPED 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「1974 隱私權法案」報告
        這份報告顯示在您的網站上找到的「1974 隱私權法案」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 歐盟理事會和歐洲議會 (GDPR) 之 2016/679 法案
        這份報告顯示在您的網站上找到的「一般資料保護規範 (GDPR)」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - Safe Harbor 報告
        這份報告顯示在您的網站上找到的「歐洲 Safe Harbor」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「2002 年沙賓法案 (SOX)」報告
        這份報告顯示在您的網站上找到的「沙賓」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「美國聯邦法規第 21 篇 (21 CFR) 第 11 條」報告
        這份報告顯示在您的網站上找到的 21CFR11（美國聯邦法規第 21 篇第 11 條）問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
    - 業界標準報告
      進一步瞭解業界標準報告。

「2002 年沙賓法案 (SOX)」報告

這份報告顯示在您的網站上找到的「沙賓」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。

重要性

專家指出自 1934 年的「證券法案」以來，「沙賓法案 (SOX)」是影響公司治理最重要的里程碑。它的目標是改進公司資訊揭露的精確度與可靠性，從而提高公開發行公司的標準以及保護投資者。

SOX 的實際挑戰是確保能夠將標準相符情況展示出來，進行精確的監視和報告。最主要的焦點是在於保存所有通訊，建立透明而可審核的系統，以紀錄交易、業務以及任何類型的商業書信。

「第 404 節」約束負責維護財務報告之內部控制及程序的管理員；它要求審核員證實管理階層對於這些控制項的評量以及揭露任何弱點。

符合 SOX 的最佳實務

識別及監視風險
建立有效的內部控制
使用安全編碼實務
在部署之前，測試 Web 應用程式的潛在安全侵害

Rate this topic

5 stars 4 stars 3 stars 2 stars 1 star

Comment on this topic.

By clicking this box, you acknowledge that you are NOT a U.S. Federal Government employee or agency, nor are you submitting information with respect to or on behalf of one. HCL provides software and services to U.S. Federal Government customers through its partners immixGroup, Inc. Contact this team at https://hcltechsw.com/resources/us-government-contact. Do not include any personal data in this Comment box.