主页
管理應用程式風險
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
步驟 5：測量進度並展示相符性
進一步瞭解如何測量進度及展示相符性。
展示相符性
進一步瞭解如何示範相符性。
相符性報告
進一步瞭解「相符性」報告。
California Consumer Privacy Act (CCPA) - AB 375 （加州消費者隱私保護法 - AB 375）
此報告會顯示您網站上不符合這些規定的問題。許多 Web 應用程式漏洞可能會直接或間接造成個人資訊的安全缺口，並可能被視為違反法規。

歡迎使用
歡迎使用 HCL AppScan Enterprise 10.4.0 說明文件，您可以在其中找到如何安裝、維護及使用 HCL AppScan Enterprise 的相關資訊。
AppScan® Enterprise 的協助工具特性
協助工具特性可協助有殘障 (例如，行動受限或視力受限) 的使用者順利地使用資訊技術產品。
產品概觀
正在安裝
學習如何安裝產品。
升級與移轉
學習如何升級產品。
整合
學習如何將產品與其他解決方案整合在一起。
DevOps
瞭解如何使用 REST API 和外掛程式來延伸產品。
最佳作法
學習最佳實務，以瞭解如何使用產品。
配置
學習如何配置產品。
管理
學習如何管理產品。
管理應用程式風險
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
- 步驟 1：建立應用程式庫存
  進一步瞭解如何建立應用程式庫存。
- 步驟 2：測試應用程式的漏洞
  進一步瞭解如何對應用程式中識別的漏洞進行測試。
- 步驟 3：判定風險及設定漏洞優先順序
  進一步瞭解如何對應用程式中識別的漏洞判斷風險及設定優先順序。
- 步驟 4：修補風險
  進一步瞭解如何對應用程式中識別的風險進行補救。
- 步驟 5：測量進度並展示相符性
  進一步瞭解如何測量進度及展示相符性。
  - 測量進度
    進一步瞭解如何追蹤您組合包含的應用程式的各種度量值和趨勢。
  - 展示相符性
    進一步瞭解如何示範相符性。
    - 將問題匯出成報告
      您可以針對問題產生自訂報告（HTML、PDF、Excel 或 XML），並將其發送給開發人員、內部稽核員、滲透測試人員、經理和 CISO。AppScan Enterprise 中的報告範本會將應用程式安全資料對映到主要政府法規與業界標準。使用報告記錄實現監管合規性目標的進展情況，例如顯示與合規性問題相關的應用程式漏洞數量的減少。
    - 限制安全報告的大小
      安全報告可能會很大。在產生報告期間，您可能會收到檔案長度有數百頁的警告訊息，或是建立報告程序可能逾時。請嘗試下列要訣來減少報告大小。
    - 相符性報告
      進一步瞭解「相符性」報告。
      - APRA PPG 234 -「在資訊和資訊技術中的安全風險管理」報告
        這份報告顯示您的網站上所找到不符合此法規的問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - Basel II 報告
        此 Basel II 依循性報告可藉由識別、監視和報告 Web 應用程式漏洞，來協助金融機構處理線上活動所衍生的作業風險。
      - California Consumer Privacy Act (CCPA) - AB 375 （加州消費者隱私保護法 - AB 375）
        此報告會顯示您網站上不符合這些規定的問題。許多 Web 應用程式漏洞可能會直接或間接造成個人資訊的安全缺口，並可能被視為違反法規。
      - 「1998 年兒童線上隱私保護法案」報告
        這份報告顯示在您的網站上找到的「兒童線上隱私保護法案 (COPPA)」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。附註：這份報告中的許多問題類似於 HIPAA 報告中的問題。如果兩份報告新增到單一儀表板中，問題總數會提高。如果要防止發生這個情況，您可以建立每份報告的個別標籤，或只新增其中一份報告到儀表板中。
      - 「英國資料保護法案」報告
        這份報告顯示在您的網站上找到的「資料保護法案」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「DCID 6/3 保護進階技術 IS」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反防護交互連接的資訊系統，以及防護採用進階技術之資訊系統的安全需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 基礎可用性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information within Information Systems" 手冊第 6 章所述基礎保護等級系統運作的可用性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「基礎」層次是指必須在彈性的延遲容忍度之下備妥資訊，或失去可用性會有所損害。
      - 「DCID 6/3 中等可用性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information within Information Systems" 手冊第 6 章所述中等保護等級系統運作的可用性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「中等」層次是指必須在最低延遲容忍度之下備妥資訊，或失去可用性可能造成人體傷害，或組織層面的利益損害。
      - 「DCID 6/3 高等可用性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information within Information Systems" 手冊第 6 章所述高等保護等級系統運作的可用性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「高等」層次是指一律必須隨需備妥資訊，無延遲容忍度。失去可用性可能造成生命損失、國家利益之損害或機密受侵害。
      - 「DCID 6/3 機密性要求保護等級 1」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 1 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 機密性要求保護等級 2」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 2 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 機密性要求保護等級 3」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 3 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 機密性要求保護等級 4」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 4 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 機密性要求保護等級 5」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 4 章所述保護等級 5 系統運作的機密性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。
      - 「DCID 6/3 基礎完整性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 5 章所述基礎完整性層次系統運作的完整性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「基礎」層次是指合理抵制未獲授權進行修改，或失去完整性會有所損害。
      - 「DCID 6/3 中等完整性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 5 章所述中等完整性層次系統運作的完整性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「中等」層次是指非常抵制未獲授權進行修改，但並非絕對。中度失去完整性可能造成人體傷害，或組織層面的利益損害。
      - 「DCID 6/3 高等完整性」報告
        這份報告分析 Web 應用程式的掃描結果，以偵測出是否可能違反 "Protecting Sensitive Compartmented Information Within Information Systems" 手冊第 5 章所述高等完整性層次系統運作的完整性需求。它可以協助您偵測出是否可能違反評鑑程序第 3、4、5 和 8 步驟所提出的需求。「高等」層次是指極為抵制未獲授權進行修改。高度失去完整性可能造成生命損失，或國家利益或機密的損害。
      - 迪砂的應用程式安全和開發 STIG、V5R1 合規性報告
        此報告顯示迪砂的應用程式安全性和開發 STIG、在您的應用程式中發現的 V5R1 合規性問題。《應用程式安全及開發安全技術實作手冊》(STIG) 提供在整個應用程式開發生命週期中使用的安全指引。「國防資訊系統局 (DISA)」鼓勵網站在應用程式開發程序中，儘早採用這些準則。
      - DoD 指令 8500.1 - 網路安全報告
        這份報告顯示在您網站上找到的問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「DoD 指令 8550.1 - 網際網路服務和網際網路型功能」報告
        這份報告顯示在您網站上找到的問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「電子金融轉帳法案和法規 E」報告
        這份報告顯示在您的網站上找到的 EFTA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「歐盟指令 1995/46/EC」報告
        這份報告顯示在您的網站上找到的「資料保護指令 (EU 1995/46/EC)」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「歐盟指令 2002/58/EC」報告
        這份報告顯示在您的網站上找到的「隱私權和電子通訊指令 (EU 2002/58/EC)」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「家庭教育權利與隱私權法案 (FERPA)」報告
        這份報告顯示在您網站上找到的 FERPA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「聯邦金融機構檢查委員會 (FFIEC)，資訊安全 IT 檢查手冊」報告
        這份報告顯示在您的網站上找到的 FFIEC 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「聯邦資訊安全管理法案 (FISMA)」報告
        這份報告顯示在您的網站上找到的 FISMA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「聯邦政府風險與授權管理計劃 (FedRAMP)」報告
        這份報告顯示在您的網站上找到的 FedRAMP 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「金融服務 (GLBA)」報告
        這份報告顯示在您的網站上找到的 GLBA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「資訊自由及隱私權保護法案 (FIPPA)」報告
        這份報告顯示在您網站上找到的 FIPPA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「1996 年醫療保險轉移和責任法案 (HIPAA)」報告
        這份報告顯示在您的網站上找到的 HIPAA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「日本個人資訊保護法案」報告
        這份報告顯示您的網站上所找到關於「日本個人資訊保護法案」的問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「麻塞諸塞州 201 CMR 17.00」報告
        此 MA 201 依循性報告可藉由識別、監視和報告 Web 應用程式漏洞，來協助金融機構處理線上活動所衍生的作業風險。
      - 「資訊技術安全管理 (MITS)」報告
        此 MITS 依循性報告可藉由識別、監視和報告 Web 應用程式漏洞，來協助金融機構處理線上活動所衍生的作業風險。
      - 「NERC CIPC 電力部門安全準則」報告
        這份報告顯示在您的網站上找到的「NERC CIPC 違規」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「PA-DSS（付款應用程式資料安全標準）3.0 版」報告
        此 PA-DSS 依循性報告可藉由識別、監視和報告 Web 應用程式漏洞，來協助金融機構處理線上活動所衍生的作業風險。
      - 「付款卡產業資料安全標準 (PCI) 3.0 版」報告
        這份報告顯示在您的網站上找到的 PCI 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「PIPED 法案」報告
        這份報告顯示在您的網站上找到的 PIPED 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「1974 隱私權法案」報告
        這份報告顯示在您的網站上找到的「1974 隱私權法案」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 個人資訊保護法 (PoPIA) 合規性報告
        此報告顯示您的應用程式中的個人資訊保護法 (PoPIA) 合規性問題。許多 Web 應用程式漏洞可能會直接或間接導致個人資訊安全漏洞，並可能被視為違反法規。
      - 歐盟理事會和歐洲議會 (GDPR) 之 2016/679 法案
        這份報告顯示在您的網站上找到的「一般資料保護規範 (GDPR)」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - Safe Harbor 報告
        這份報告顯示在您的網站上找到的「歐洲 Safe Harbor」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「2002 年沙賓法案 (SOX)」報告
        這份報告顯示在您的網站上找到的「沙賓」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「美國聯邦法規第 21 篇 (21 CFR) 第 11 條」報告
        這份報告顯示在您的網站上找到的 21CFR11（美國聯邦法規第 21 篇第 11 條）問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
    - 業界標準報告
      進一步瞭解業界標準報告。
疑難排解和支援
為了協助您瞭解、隔離及解析您的 HCL® 軟體的問題，疑難排解和支援資訊包含您的 HCL 產品所提供之問題判斷資源的使用指示。
參照
檢閱產品的參照資訊。
名詞解釋

California Consumer Privacy Act (CCPA) - AB 375 （加州消費者隱私保護法 - AB 375）

此報告會顯示您網站上不符合這些規定的問題。許多 Web 應用程式漏洞可能會直接或間接造成個人資訊的安全缺口，並可能被視為違反法規。

重要性

2018 年的「加州消費者隱私保護法」(CCPA) 賦予消費者更多控制權以控管企業所收集與其相關的個人資訊，CCPA 法規並提供如何落實法律的指引。這項意義重大的法律可保障加州消費者的新隱私權，包括：

有權得知企業收集的相關個人資訊，以及資訊的使用和分享方式；
有權刪除向其收集的個人資訊（包含部分例外情況）；
有權退出銷售或拒絕分享其個人資訊；以及
具備行使 CCPA 權利的不歧視權利。

遵從「加州消費者隱私保護法」(CCPA) - AB 375 的最佳實務

識別企業收集和維護的個人資訊類型，其中包括書面與電子儲存的個人資訊。
判斷向您的企業和公眾提出的資訊，可能遺失或遭到未獲授權揭露的風險層次。
判斷您的安全措施和程序是否合理。進行這項判斷之時，請對照企業因資料遺失或不當揭露所需承擔的損失，權衡您目前提供之保護的成本。
調整程序和實務，使所提供的個人資訊保護類型與層次，相應於資訊遺失或不當揭露的風險等級。