巧手推資安：行政院海岸巡防署 安全需要內建 不是外掛

4年資安推動經驗，已達到全面導入、部分驗證、內稽落實的目標。

　　為台灣守護沿海防線的海巡署，守護資安防線也有一套。高階主管大刀闊斧、推動團隊認真規劃、全員落實安全從自己做起。

人員與組織

· 組織分工明確：資安重大決策由「資通安全推動組」審查，最後由署長發佈實施。各單位依據資安政策自行擬定資安管理辦法，經跨部門工作小組「風險處理分組」、「稽核分組」研討後，資安科從旁協助各單位推動執行。署內各機關（署、海洋／海岸總局）副主管擔任資安官，亦負起單位資安工作執行與規範落實之責。

· 資安工作共同負責：成立通電資訊處資通安全科，統合AP、DBA、MIS及網管等編組人力，共同推動ISO 27001 11個領域的各項資安工作，包括資安政策的擬定、管理制度實作、稽核、資安設備的管理及事件應變處置等。

· 推動資安第一步：高階主管支持歷任署長對資安的重視，反映在預算支持、管理辦法以身作則等方面。例如，為要求同仁及資訊服務廠商明確認知署內資訊安全政策，頒布「資通安全政策第一號通知書」並要求所有相關人員均需簽署，期間遭遇部份同仁反彈，署長以身作則親自完成簽署，此問題迎刃而解。

管理與技術

· SOC營建的7大策略：經過完善的評估規劃階段，擬定7大SOC營建策略，包括：SOC與資安服務管理合併辦理、2套獨立SIEM平台、採「委外建置，協同維運，技轉自營」、以完整需求徵求RFP、要求通過ISO 27001驗證、訂定明確SLA區分系統與服務等級、與國家資通安全防護管理中心資料連通交換機制。

· 多重手段防制資料外洩：96年初推動資訊資產分類分級計畫，將資訊資產區分為7級。並搭配多重管理措施：包括實體隔離、單一簽入、資料庫加密、網路與郵件側錄系統、可攜式儲存媒體管控及列印稽核等多重手段，以及落實資安稽核工作，以確保資安政策與規範執行，有效防制資料外洩。

· 鼓勵同仁取得證照：持續送訓相關CISSP、CCNA、CEH、CCNP、MCSE、LINUX及程式設計安全實務等相關網管與資安實務管理專長訓練，證照的取得可作為人員考績項目之一。

· 為擴大海巡署內人人參與，資安工作執行優劣納入海巡署「海巡機關人員獎懲標準表」項目中。

· 現行資安規範，依ISMS制度分為4階文件，總計148項

· 不厭其煩辦理各種演練／稽核：各小組積極辦理各種演練，97年包括辦理定期、不定期稽核各1次；自辦社交工程電子郵件演練3次；自辦通報測試演練1次；風險處理分組資安應變演練1次；委外辦理滲透測試1次；自辦營運持續演練3次。