歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
巧手推資安:行政院海岸巡防署 安全需要內建 不是外掛
2009 / 07 / 28
張維君
4年資安推動經驗,已達到全面導入、部分驗證、內稽落實的目標。
為台灣守護沿海防線的海巡署,守護資安防線也有一套。高階主管大刀闊斧、推動團隊認真規劃、全員落實安全從自己做起。
人員與組織
· 組織分工明確:資安重大決策由「資通安全推動組」審查,最後由署長發佈實施。各單位依據資安政策自行擬定資安管理辦法,經跨部門工作小組「風險處理分組」、「稽核分組」研討後,資安科從旁協助各單位推動執行。署內各機關(署、海洋/海岸總局)副主管擔任資安官,亦負起單位資安工作執行與規範落實之責。
· 資安工作共同負責:成立通電資訊處資通安全科,統合AP、DBA、MIS及網管等編組人力,共同推動ISO 27001 11個領域的各項資安工作,包括資安政策的擬定、管理制度實作、稽核、資安設備的管理及事件應變處置等。
· 推動資安第一步:高階主管支持歷任署長對資安的重視,反映在預算支持、管理辦法以身作則等方面。例如,為要求同仁及資訊服務廠商明確認知署內資訊安全政策,頒布「資通安全政策第一號通知書」並要求所有相關人員均需簽署,期間遭遇部份同仁反彈,署長以身作則親自完成簽署,此問題迎刃而解。
管理與技術
· SOC營建的7大策略:經過完善的評估規劃階段,擬定7大SOC營建策略,包括:SOC與資安服務管理合併辦理、2套獨立SIEM平台、採「委外建置,協同維運,技轉自營」、以完整需求徵求RFP、要求通過ISO 27001驗證、訂定明確SLA區分系統與服務等級、與國家資通安全防護管理中心資料連通交換機制。
· 多重手段防制資料外洩:96年初推動資訊資產分類分級計畫,將資訊資產區分為7級。並搭配多重管理措施:包括實體隔離、單一簽入、資料庫加密、網路與郵件側錄系統、可攜式儲存媒體管控及列印稽核等多重手段,以及落實資安稽核工作,以確保資安政策與規範執行,有效防制資料外洩。
· 鼓勵同仁取得證照:持續送訓相關CISSP、CCNA、CEH、CCNP、MCSE、LINUX及程式設計安全實務等相關網管與資安實務管理專長訓練,證照的取得可作為人員考績項目之一。
· 為擴大海巡署內人人參與,資安工作執行優劣納入海巡署「海巡機關人員獎懲標準表」項目中。
· 現行資安規範,依ISMS制度分為4階文件,總計148項
· 不厭其煩辦理各種演練/稽核:各小組積極辦理各種演練,97年包括辦理定期、不定期稽核各1次;自辦社交工程電子郵件演練3次;自辦通報測試演練1次;風險處理分組資安應變演練1次;委外辦理滲透測試1次;自辦營運持續演練3次。
海巡署
ISO 27001
SOC
最新活動
2025.04.25
線上研討會 : 有效管控企業資安&營業秘密風險
2025.04.30
免費【資安人才培育計畫說明講座】 資安顧問師 與 資安維運工程師 的職能發展與養成
2025.05.14
OpenText+精誠資訊【AI x DevOps打造高效敏捷團隊,提升軟體交付速度!|成功企業案例分享】
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
外媒看CrazyHunter勒索團體手法,關注防範開源工具攻擊
資安署25年3月資安月報:入侵攻擊持續居首 Line偽冒網站威脅增加
AI時代的資安攻防:趨勢科技揭「網路犯罪即代理」趨勢
報告:網路邊緣設備成為中小企業資安攻擊的主要入口
Google Cloud:2025 年資安管理者的五大關注重點
資安人科技網
文章推薦
TWISA攜手數產署展現台灣資安硬實力
資安託管業者如何應對AI安全盲點
華碩發布修補程式解決可能導致伺服器損壞的 AMI 漏洞