技術的統制
通信保護とブラウザ対策をデプロイ層で実施
Nginx は、HSTS、nosniff、frame、referrer、permissions、CSP report-only ヘッダーを静的デプロイ基線として適用します。
情報セキュリティガバナンス
最小権限、変更管理、定期レビューで公開サイトの安全性を維持します
サイトは静的生成物をNginxで配信する構成を採用し、デプロイ層でセキュリティヘッダーと通信保護を適用します。月次更新、四半期ごとのセキュリティテスト、年次コンテンツレビューのサイクルでPDCA改善を行います。情報セキュリティ窓口は service@ronjye.com.tw です。
統制ベースライン
文書化され、見直し可能で、公開サイトから参照できます
これらのガバナンスページは、バックエンドのポリシーシステムを追加せずに、法務レビュー、セキュリティレビュー、変更管理の追跡性を支えます。
見直し周期
月次更新、四半期テスト、年次方針レビュー
依存関係とシステム更新は月次で確認し、セキュリティテストは四半期ごとに実施し、公開ポリシーは少なくとも年1回および重要変更後に見直します。
継続的改善
非GitHubのリリース経路にセキュリティゲートを組み込む
ビルド、検証、ヘッダーチェック、任意のライブスキャンを文書化されたCIスクリプトで実行し、変更記録の監査可能性を維持します。