一、產品/服務名稱及自主研發成份說明

本產品為一套電子化系統處理及管控作業流程，主要協助客戶取代現行人工作業，將完成資訊資產弱點掃瞄結果之匯入、評估、 通報、處理、追蹤及管理等事項並記錄與留存其軌跡紀錄，除可即時掌握弱點及其修補情形，降低不良的影響，並可減少這些弱點對客戶資產甚至營運造成衝擊之可能威脅。

整個產品的設計與研發皆依照ISO-27001規範指引設計，百分百為國產研發產品，無境外資源投入。

隨著網際網路開放式架構的快速發展，資訊安全已不能單獨著重某一個點或是面的考量，整個資訊安全包含了網路、伺服器、作業系統、應用程式、資料庫系統及人為因素等各層面的考量。因此在本專案中，我們所強調的重點是在設計階段就將資安防範設計其中（Security Design In），因此，是全面性的貫穿整體專案生命週期，並於程式開發階段與上線維運階段有不同面向的規劃。因此在程式撰寫的規範上，本公司參考國家資通安全會報技術服務中心所公布 之「Web 應用程式安全參考指引」以及國際資安組織 OWASP 所公布的 10 大關鍵 的系統應用程式風險（Top 10 Most Critical Web Application Security Risks），在程式撰寫時就將資安要求納入系統設計中。

此外，由於個資的管理已成為一項重要的議題，因此我們也在本系統中規劃了個人資料保護措施。

二、產品/服務功能說明

產品/服務功能與特色：

1. 本系統可整合人資系統、單一登錄及權限控管系統，導入機構的組織架構，以對應使用角色與權限，並可自動設定代理人員。

2. 本系統提供各種弱點檢測結果的輸入方式，包括可整批匯入也可手動輸入弱掃結果，

3. 可整合本公司的另一套ISMS_資訊資產暨風險評鑑管理系統，同步勾稽盤點機構內的資訊資產。

4. 本系統可根據不同屬性資安弱點指派給不同的管理者進行改善作業，

5. 本系統依據載入的弱掃結果進行風險評鑑分析，並參考相對應的資產價值，自動判定改善作業的優先順序與改善期限，，

6. 本系統可依導入的組織架構，自動帶入線上簽核流程。

7. 本系統提供改善作業進度回報追蹤功能，並可夾附相關佐證資料送主管線上簽核。

8. 提供相關的案件統計管理報表與戰情儀表板，讓管理階層能一目瞭然的掌控相關作業與進度。

9. 本系統具白名單管理功能，讓誤判及無法改善的案件處理提供佐證說明。

可解決的問題、效果：

1. 資安弱點紀錄的建立。

2. 資安弱點案件的派案。

3. 資安弱點案件的處理紀錄。

4. 資安弱點案件的簽核軌跡。

5. 案件作業的處理進度回報與追蹤。

6. 資安弱點案件的分析與參考應用。

7. 減少紙本的消耗及保存的困難。

三、產品/服務之應用情境說明

應用情境說明：在現今社會，資訊安全管理作業已越來越重要。面對日新月異的資安威脅，資安管理人員或企業主常煩惱於該如何透過有效的來管理資訊安全問題。本系統就是設計用來降低及減少在資安弱點管理工作上的負擔，並降低機構現有或潛在的資安風險。

過去已有之應用案例：在實際案例上，目前已有一家官股銀行採用了這套資安弱點管理系統上線使用中。