ITSG-33 行業標準合規報告

ITSG-33 行業標準合規報告有助於您評估您的網頁應用程式的安全性，根據加拿大政府的 IT 安全風險管理框架。

About the ITSG-33 Industry Standard

加拿大政府 (GC) 部門使用資訊系統來支持其業務活動。這些系統經常面臨嚴重的威脅，可能會危及 IT 資產的機密性、完整性或可用性。ITSG-33 標準提供了一個框架，以管理這些 IT 安全風險，作為您持續運營的一部分。

此報告顯示您的應用程式如何符合相關的安全控制，以確保網頁應用程式的安全設計、開發和運行。

ITSG-33 中的安全控制分為三類：

管理控制專注於管理 IT 安全和風險的活動。
技術控制由資訊系統通過硬體、軟體和韌體中的機制實施。
操作控制通過人員運行的流程來實施。

技術安全控制類別包含以下幾個系列：

存取控制支持允許或拒絕用戶訪問資源的能力。
審計和問責支持收集、分析和存儲用戶操作的審計記錄的能力。
識別和認證支持對訪問系統資源的用戶進行唯一識別和認證。
系統和通信保護支持信息系統及其內部和外部通信的保護。

涵蓋的實體

以下組織預期使用 ITSG-33 框架：

加拿大政府部門和機構。
共享服務和公共服務提供者，例如加拿大共享服務（SSC）。
處理敏感聯邦信息的國有企業和聯邦監管機構。
向聯邦機構提供 IT 解決方案的第三方供應商和承包商。

ITSG-33 行業標準報告漏洞

下表列出了評估的特定 ITSG-33 技術安全控制。在您的應用程序中發現的漏洞被映射到這些控制 ID。

表 1. 法規的部分
ID	名稱
AC-3	信息系統根據適用的訪問控制政策強制執行對信息和系統資源的批准授權。
AC-4	信息系統根據適用的信息流控制政策強制執行對系統內部和互聯系統之間的信息流的批准授權。
AC-5.A.c	組織定義信息系統訪問授權以支持職責分離。
AC-6	信息系統強制執行用戶完成分配任務所需的最嚴格的權限和特權集。
AC-7.A	資訊系統在一段時間內強制限制用戶連續無效登入嘗試的次數。
AC-7.B	當超過最大失敗嘗試次數時，資訊系統會自動鎖定帳戶或延遲下一次登入嘗試。
AC-10	資訊系統限制每個帳戶的同時會話數量至組織定義的數字。
AC-11.A	資訊系統在一段定義的非活動時間後或接收到用戶請求時，通過啟動會話鎖定來防止進一步訪問系統。
AC-11.B	資訊系統保留會話鎖定，直到用戶使用已建立的識別和驗證程序重新建立訪問。
AC-12	資訊系統在組織定義的條件或非活動時間後自動終止用戶會話。
AC-17.A	組織為每種允許的遠程訪問類型建立並記錄使用限制、配置要求、連接要求和實施指導。
AC-18.A	組織為資訊系統的無線訪問建立使用限制、配置要求、連接要求和實施指導。
IA-2	資訊系統唯一識別和驗證組織用戶（或代表用戶行事的過程）。
IA-4.D	組織在組織定義的非活動時間後禁用資訊系統標識符。
IA-5.C	資訊系統強制執行驗證器的最低密碼複雜性要求。
IA-5.E	資訊系統禁止密碼在指定的代數內重複使用。
IA-5.F	資訊系統強制執行密碼的最短和最長使用期限限制。
IA-5.G	資訊系統使用加密機制保護驗證器內容免於未經授權的披露和修改。
IA-5.H	資訊系統在傳輸過程中保護驗證器內容免於未經授權的披露。
IA-6	資訊系統在驗證過程中隱藏驗證信息的反饋，以保護信息免於未經授權的使用。
IA-7	資訊系統在建立加密連接之前實施機制以驗證加密模塊。
SA-18	資訊系統實施防篡改和檢測機制，以防止和/或識別對軟體、韌體和硬體元件的未經授權更改。
SC-5	資訊系統保護或限制拒絕服務攻擊的影響。
SC-6	資訊系統通過為系統進程分配優先級並確保在資源競爭下高優先級進程獲得優先處理來保護資源的可用性。
SC-7.A	資訊系統監控和控制系統外部邊界和系統內部關鍵邊界的通信。
SC-8	資訊系統保護傳輸資訊的機密性和完整性。
SC-12	資訊系統使用自動化機制和支持程序來建立和管理加密密鑰。
SC-13	資訊系統實施加密機制以防止未經授權的信息洩露並檢測信息變更。
SC-20.A	資訊系統提供額外的數據來源認證和完整性驗證工件，並在回應外部名稱/地址解析查詢時返回權威名稱解析數據。
SC-23	資訊系統保護通信會話的真實性。
SC-28	資訊系統保護靜態資訊的機密性和完整性。
SI-2.A	組織及時識別、報告和糾正資訊系統缺陷。
SI-3.A	組織在系統進出點和端點使用惡意代碼保護機制，並保持機制和簽名的最新狀態以檢測和消除惡意代碼。
SI-10	資訊系統檢查信息輸入的有效性以確保準確性、完整性和真實性。
SI-11.A	資訊系統生成錯誤信息，提供必要的更正行動信息，而不透露可能被利用的敏感信息。