觀點

巧手推資安:行政院海岸巡防署 安全需要內建 不是外掛

2009 / 07 / 28
張維君
巧手推資安:行政院海岸巡防署 安全需要內建 不是外掛
4年資安推動經驗,已達到全面導入、部分驗證、內稽落實的目標。

  為台灣守護沿海防線的海巡署,守護資安防線也有一套。高階主管大刀闊斧、推動團隊認真規劃、全員落實安全從自己做起。

人員與組織

· 組織分工明確:資安重大決策由「資通安全推動組」審查,最後由署長發佈實施。各單位依據資安政策自行擬定資安管理辦法,經跨部門工作小組「風險處理分組」、「稽核分組」研討後,資安科從旁協助各單位推動執行。署內各機關(署、海洋/海岸總局)副主管擔任資安官,亦負起單位資安工作執行與規範落實之責。

· 資安工作共同負責:成立通電資訊處資通安全科,統合AP、DBA、MIS及網管等編組人力,共同推動ISO 27001 11個領域的各項資安工作,包括資安政策的擬定、管理制度實作、稽核、資安設備的管理及事件應變處置等。

· 推動資安第一步:高階主管支持歷任署長對資安的重視,反映在預算支持、管理辦法以身作則等方面。例如,為要求同仁及資訊服務廠商明確認知署內資訊安全政策,頒布「資通安全政策第一號通知書」並要求所有相關人員均需簽署,期間遭遇部份同仁反彈,署長以身作則親自完成簽署,此問題迎刃而解。

管理與技術

· SOC營建的7大策略:經過完善的評估規劃階段,擬定7大SOC營建策略,包括:SOC與資安服務管理合併辦理、2套獨立SIEM平台、採「委外建置,協同維運,技轉自營」、以完整需求徵求RFP、要求通過ISO 27001驗證、訂定明確SLA區分系統與服務等級、與國家資通安全防護管理中心資料連通交換機制。

· 多重手段防制資料外洩:96年初推動資訊資產分類分級計畫,將資訊資產區分為7級。並搭配多重管理措施:包括實體隔離、單一簽入、資料庫加密、網路與郵件側錄系統、可攜式儲存媒體管控及列印稽核等多重手段,以及落實資安稽核工作,以確保資安政策與規範執行,有效防制資料外洩。

· 鼓勵同仁取得證照:持續送訓相關CISSP、CCNA、CEH、CCNP、MCSE、LINUX及程式設計安全實務等相關網管與資安實務管理專長訓練,證照的取得可作為人員考績項目之一。

· 為擴大海巡署內人人參與,資安工作執行優劣納入海巡署「海巡機關人員獎懲標準表」項目中。

· 現行資安規範,依ISMS制度分為4階文件,總計148項

· 不厭其煩辦理各種演練/稽核:各小組積極辦理各種演練,97年包括辦理定期、不定期稽核各1次;自辦社交工程電子郵件演練3次;自辦通報測試演練1次;風險處理分組資安應變演練1次;委外辦理滲透測試1次;自辦營運持續演練3次。