歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
巧手推資安:行政院海岸巡防署 安全需要內建 不是外掛
2009 / 07 / 28
張維君
4年資安推動經驗,已達到全面導入、部分驗證、內稽落實的目標。
為台灣守護沿海防線的海巡署,守護資安防線也有一套。高階主管大刀闊斧、推動團隊認真規劃、全員落實安全從自己做起。
人員與組織
· 組織分工明確:資安重大決策由「資通安全推動組」審查,最後由署長發佈實施。各單位依據資安政策自行擬定資安管理辦法,經跨部門工作小組「風險處理分組」、「稽核分組」研討後,資安科從旁協助各單位推動執行。署內各機關(署、海洋/海岸總局)副主管擔任資安官,亦負起單位資安工作執行與規範落實之責。
· 資安工作共同負責:成立通電資訊處資通安全科,統合AP、DBA、MIS及網管等編組人力,共同推動ISO 27001 11個領域的各項資安工作,包括資安政策的擬定、管理制度實作、稽核、資安設備的管理及事件應變處置等。
· 推動資安第一步:高階主管支持歷任署長對資安的重視,反映在預算支持、管理辦法以身作則等方面。例如,為要求同仁及資訊服務廠商明確認知署內資訊安全政策,頒布「資通安全政策第一號通知書」並要求所有相關人員均需簽署,期間遭遇部份同仁反彈,署長以身作則親自完成簽署,此問題迎刃而解。
管理與技術
· SOC營建的7大策略:經過完善的評估規劃階段,擬定7大SOC營建策略,包括:SOC與資安服務管理合併辦理、2套獨立SIEM平台、採「委外建置,協同維運,技轉自營」、以完整需求徵求RFP、要求通過ISO 27001驗證、訂定明確SLA區分系統與服務等級、與國家資通安全防護管理中心資料連通交換機制。
· 多重手段防制資料外洩:96年初推動資訊資產分類分級計畫,將資訊資產區分為7級。並搭配多重管理措施:包括實體隔離、單一簽入、資料庫加密、網路與郵件側錄系統、可攜式儲存媒體管控及列印稽核等多重手段,以及落實資安稽核工作,以確保資安政策與規範執行,有效防制資料外洩。
· 鼓勵同仁取得證照:持續送訓相關CISSP、CCNA、CEH、CCNP、MCSE、LINUX及程式設計安全實務等相關網管與資安實務管理專長訓練,證照的取得可作為人員考績項目之一。
· 為擴大海巡署內人人參與,資安工作執行優劣納入海巡署「海巡機關人員獎懲標準表」項目中。
· 現行資安規範,依ISMS制度分為4階文件,總計148項
· 不厭其煩辦理各種演練/稽核:各小組積極辦理各種演練,97年包括辦理定期、不定期稽核各1次;自辦社交工程電子郵件演練3次;自辦通報測試演練1次;風險處理分組資安應變演練1次;委外辦理滲透測試1次;自辦營運持續演練3次。
海巡署
ISO 27001
SOC
最新活動
2024.05.24
AI新技術 全面捍衛網路安全
2024.04.29
軟協XBSI強強聯手【資安學院】4/29-4/30 ISO/IEC 27001:2022資訊安全管理系統 主導稽核員「轉版」訓練課程 (二日)
看更多活動
大家都在看
思科示警VPN、SSH服務遭大規模暴力撞庫攻擊
Palo Alto Networks:全球多重勒索軟體攻擊激增 49%,台灣製造業、高科技業、營建業受影響深
零壹科技成立「聯壹數位」子公司強化雲策略布局
趨勢科技公佈「Operation Cronos」癱瘓LockBit細節
思科 Duo遭供應鏈攻擊!用戶多因子身分驗證日誌外洩
資安人科技網
文章推薦
工控領域的安全開發!迷思與重要觀念
碩泰網通宣布取得Tenable台灣區代理權
Check Point 推出具進階威脅防護能力的創新單一介面電子郵件管理解決方案