公司網站更新移轉建置參考資訊
一、需求及功能面向
☺開發廠商風評考慮?(服務經驗及口碑、系統人員服務量能與品質)
☺開發廠商是否充份掌握既有網頁功能,如何將舊網頁資料無痛移轉(移轉計劃合宜度及應變方案處置規劃,是否完善?)
☺開發廠商是否充份瞭解,並與各業務部門使用需求進行訪談並給予建議,達到更換需求目的?(如:訂單管理、電子報、前台及後台介面方便度等)
☺行銷部分SEO紀錄如何管理調校?(如:客戶瀏覽分析與制定管理策略)
☺跨平台規劃定位考量(如:不同瀏覽器支援、手機支援、圖片影像、網站效能及流量考量?)
二、安全性考量面向
☺設計架構是否有考量更新便利性,如採開放源碼元件,如:PHP、JAVA 、Tomcat、Linux、Jquery等後續多久更新?如何更新,權責應清楚?(作業系統面、資料庫面、網站程式面等遭遇問題分工機制?)
☺網站是否有使用HTTPS通訊協定,後續金鑰定期更換機制?
☺網站開發驗收前及程式大改版後,是否需做原始碼安全性檢測(如:OWASP TOP10檢測)
☺網站是否有CAPTCHA防止機器人暴力破解
☺網站使用者,是否有提供定期自動要求變更密碼、密碼複雜度要求、密碼三代不重覆、忘記密碼處理機制
☺安全性日誌,是否保留(如:作業系統LOG、網頁伺服器LOG),並建議定期備份與檢視
☺如何規劃災害還原處理?系統備份及異地還原機制,多久還原測試(如:遭勒索軟體加密後,異地備份整機還原測試)
三、版更及後續維運
☺公司是否有足夠人力,對新系統持續維運或需委託原開發廠商維運?
☺版本如何更新?(如:上架資料有問題、上架功能未達公司需求等,如何修正或調整?)
☺版權及原始碼提供?
☺程式碼及功能如需擴增更新,費用如何計算,方便評估後續委外維運成本
☺網頁維護廠商,後續售後服務為何?(叫修後於幾天內完成)
☺遠端維護,如何對搖控端主機進行安全性要求?(如:限縮指定來源IP、對方主機是否有定期更新、是否裝防毒軟體並維持最新、是否裝P2P軟體等)、是否通過ISO27001、相關人等填寫保密切結書?