Skip to main content
Panguard Report 根據三個合規框架評估您的安全態勢。每個框架定義一組控制措施,被評估為合規、部分合規、不合規或未評估。

ISO 27001

ISO/IEC 27001 是資訊安全管理系統(ISMS)的國際標準。Panguard 評估附錄 A 控制領域中的 30 項控制措施。

控制領域

領域控制措施描述
A.5資訊安全政策政策文件和審查
A.6資訊安全組織內部組織及行動/遠端工作
A.7人力資源安全僱用前、僱用期間及離職
A.8資產管理清冊、分類及媒體處理
A.9存取控制業務要求、使用者管理、系統存取
A.10密碼學加密政策和金鑰管理
A.11實體安全安全區域和設備
A.12營運安全程序、惡意軟體防護、備份、日誌記錄、修補
A.13通訊安全網路管理和資訊傳輸
A.14系統開發開發和支援過程中的安全
A.15供應商關係供應商協議中的資訊安全
A.16事件管理事件報告、回應和經驗教訓
A.17業務持續性持續性規劃和驗證
A.18合規性法律、合約和審查要求

Panguard 如何對應發現項目

掃描發現項目ISO 27001 控制措施
弱密碼策略A.9.4 — 系統和應用程式存取控制
缺少加密A.10.1 — 密碼學控制
未修補的 CVEA.12.6 — 技術漏洞管理
不必要的開放埠A.13.1 — 網路安全管理
未啟用防火牆A.13.1 — 網路安全管理
過寬的檔案權限A.9.1 — 存取控制的業務要求

SOC 2

SOC 2(系統和組織控制 2)根據 5 項信任服務準則評估組織。Panguard 專注於安全準則,並延伸至可用性和機密性。

信任服務準則

類別準則 ID描述
安全CC1控制環境
CC2溝通和資訊
CC3風險評估
CC4監控活動
CC5控制活動
CC6邏輯和實體存取控制
CC7系統營運
CC8變更管理
可用性A1可用性承諾和系統要求
機密性C1機密資訊識別和保護

Panguard 如何對應發現項目

掃描發現項目SOC 2 準則
未啟用監控CC4.1 — 持續監控
弱存取控制CC6.1 — 邏輯存取安全
缺少修補管理CC7.1 — 基礎設施管理
無事件回應CC7.3 — 事件回應
未加密資料C1.1 — 機密資訊保護

台灣資通安全管理法(TCSA)

台灣資通安全管理法(TCSA)是在台灣營運的組織的主要網路安全法規。Panguard 評估 10 個控制領域。

控制領域

控制措施中文名稱描述
Security Policy安全政策資通安全管理政策文件
Access Control存取控制系統存取權限管理
Encryption Management加密管理資料加密機制
Physical Security實體安全實體環境保護
Operations Security營運安全日常營運安全管理
Communications Security通訊安全網路通訊安全
System Development系統開發安全開發實務
Supplier Management供應商管理供應鏈安全管理
Incident Management事件管理資通安全事件處理程序
Business Continuity業務持續性業務持續性規劃

雙語報告支援

TCSA 報告完整支援繁體中文: 
panguard report generate \
  --framework tw_cyber_security_act \
  --language zh-TW \
  --org "Your Company" \
  --output-dir ./reports

控制措施評估狀態

每項控制措施被評估並指定以下四種狀態之一:
狀態含義色彩
合規控制措施要求完全滿足綠色
部分合規部分要求已滿足,仍有缺口黃色
不合規控制措施要求未滿足紅色
未評估資料不足以進行評估灰色
Panguard Report 自動將掃描發現項目對應至框架控制措施。在產生報告前先執行 panguard scan 可提供最準確的合規評估。