一、 系統開發、變更需求之業務單位,規劃時應考量下列事項。
(一) 系統容量規劃:規劃時應滿足使用者需求,同時預測未來三年之可能需求,做為新系統容量與使用效能的規劃。
(二) 檢查系統各項防護措施的設計是否符合系統的需求,以及是否留存相關紀錄,並選用最適當的實作技術。
(三) 依據系統開發所使用的程式語言,執行程式碼檢測,以及避免已知的漏洞或錯誤。
(四) 評估系統之資產價值與資安威脅發生頻率。
(五) 建立及保存各帳號之使用紀錄。
(六) 評估各使用者身分及權限的適當性。
(七) 評估各使用者使用之資料與服務的適當性。
(八) 系統開發或維護前風險評估作業,於提出需求後送系統承辦單位,以「資通系統作業需求申請及需求評估表」進行評估。
(九) 如為新系統開發,系統承辦單位應另依「資通系統作業需求申請及需求評估表」進行需求評估,其他相關評估得以附件形式檢附於「資通系統作業需求申請及需求評估表」後,依評估結果產出系統規格書。
(十) 系統進行維護作業,版本變更前應於測試機進行測試,並檢附測試紀錄,作業完成後應檢附詳細維護紀錄(包含修改幾支程式、版本更新內容等),如廠商未提供任何維護作業紀錄(如維護報告或紀錄單等),需將維護作業內容記錄於「資通系統維護紀錄單」。
