技術控制
在部署層實施傳輸與瀏覽器防護
Nginx 於靜態部署基線中套用 HSTS、nosniff、frame、referrer、permissions 與 CSP report-only 標頭。
資訊安全治理
以最小權限、變更管制與定期審查維持公開網站安全
網站採靜態產出與 Nginx 發佈模型,從部署層套用安全標頭與傳輸保護,並以每月更新、季度安全測試、年度內容審查的節奏執行 PDCA 改善。資訊安全聯絡窗口為 service@ronjye.com.tw。
控制基線
已文件化、可審查,並可從公開網站直接查閱
這些治理頁面在不新增後端政策系統的前提下,支援法務審查、安全審查與變更管理追溯。
審查節奏
每月更新、季度測試、年度政策審查
依賴與系統更新按月檢查,安全測試按季度執行,公開政策至少每年一次且於重大變更後重新審查。
持續改善
將安全關卡納入非 GitHub 發佈流程
建置、驗證、標頭檢查與選擇性的線上掃描透過文件化的 CI 腳本執行,以維持變更紀錄可稽核性。