巧手推資安：資安實踐 各有巧思

模仿，是學習的捷徑。以下單位推動資安的巧思以及跨部整合、有效動員的過程值得效法。

　　推動任何IT新計畫都需要獲得高階主管的支持，尤其是資安計畫，但老闆重視之後，接下來如何利用這股支持力量化為推動各部門合作的動力，則考驗著資安人員整合協調能力。此外，資安威脅迅速演變，資安人員必須緊緊抓住同仁對資安議題的關注，不能讓同仁鬆懈失去警惕，則又考驗著資安人員活動企劃的能力，讓資安訓練維持新鮮感。

　　推動資安沒有一定的公式，隨著組織文化不同，宜採取不同訴求與策略。以下不同產業別的資安實踐獎得主，在其單位內找到了推動資安對的方法，摸索出最適合組織的動員方式、溝通技巧、或專案管理技能。期望你能學習他們的精神締造屬於你的資安經驗。

從中央到地方逐步推資安的內政部地政司

　　地政司中部辦公室於94年即通過BS 7799驗證，驗證範圍涵蓋各項地政資訊業務。其資安推動工作不僅涵蓋該司內部，亦擴及全國各縣市地政處(局)，包括調訓全國地政事務所人員取得ISO 27001 LA證照，協助全國地政單位建置ISMS通過驗證。而該司地政資訊作業科機房係「全國地政資訊網路」之網路節點中心，因此相關網路監控、掃描設備均已佈署，透過定期專案會議及外部演練以加強防禦。而該司為確保稽核有效改善，也將22種規範、47種資安表單導入「資安ISMS e化管理系統」，以機房工作日誌為例，駐點人員也需每日填單，送至主管審核，並留存為歷史資料，以備日後查詢。


將資安隱性知識轉為顯性的銘傳大學

　　銘傳大學所有校園資訊服務之主機、系統、機房維運等均在ISO 27001驗證範圍中，透過I S M S的建置，並不斷調整流程，資安SOP已落實在日常IT營運工作中。自行開發「資安文件管制系統」，可將相關資安問題納入資料庫統計整理，而資安相關會議記錄、資安事件處理與討論則透過開源碼moodle平台進行資安專案管理，有效將隱性知識轉為顯性。而校園網路一向最令人頭疼的學生上網問題，銘傳已將校園所有電腦教室的PC登入權限集中管理，學生使用學校網路、電腦必須進行身分認證，如此一來，如有違規行為日後追查亦有所依據，便大幅減少如P2P等軟體的使用。

提供安全印刷服務的永豐紙業

　　提供支票、禮券、高速公路回數票等有價證券印刷服務的永豐紙業，提供的不單只是印刷製品，而是安全的印刷服務。土城廠在94年即通過BS 7799驗證，範圍涵蓋處理客戶來稿資料的資料處理中心。資安專案由生產部主導，納入整個印刷作業流程，除了每季內部稽核進行P D C A外，也開放客戶稽核，藉由客戶的挑戰與要求不斷改善。資訊單位從技術面負責資安產品的建置、定期備援演練、檢測，從資安工具產出報告以檢視威脅，並進行內部討論，以採取有效防禦措施。除了ISO 27001，還通過I S O 9 0 0 1、I S O 1 4 0 0 1、CWA14641、FSC COC，驗證經驗豐富。


讓資安與個人連結的華寶通訊

　　為Motorola等大廠提供ODM服務的華寶通訊，希望更有系統地建置資安，在總經理的全力支持下，從資訊處開始導入ISO 27001，目前相關資安工作已推展到其他部門，包括研發部。華寶多數使用者IT技能都不低，為了有效宣導資安認知，他們先解決所有人在日常生活中最關心的資安議題，讓資安教育訓練與個人生活經驗做連結，成功吸引同仁對資安活動的參與。透過「華寶資安報報」電子報、網站等管道宣達使用者關心的主題，讓使用者以保護自己的心態去實行資安政策，讓安全的概念從工作延伸到生活。
圖：華寶通訊資訊處副處長　簡朝祥

全員參加資安SOP訓練的佳生科技

　　佳生科技為臨床試驗委託研究機構，於92年即成立「電腦確效暨資安委員會」，雖然沒有取得外部驗證，但以ISO 27001的架構規範制定適用於生技產業之資安政策與管理辦法。並開發SOP訓練系統，每年舉辦資安SOP訓練，所有員工包括CEO等高階主管均參加。高階主管大力支持資安，曾數次對員工發電子郵件提醒資安重要性。此外，建立員工資安優良紀錄，公開鼓勵資安行為值得表揚的員工。5年來，歷經30餘次國際藥廠、政府或相關單位之資安稽查，公司內部法規單位、資訊部門均定期進行自行查核，以求持續改善。

有紀律才安全的行政院環保署

　　環保署於96年2月及12月分別通過ISO 20000及ISO 27001驗證，是首家取得ISO雙驗證的公務機關。在後續推動過程中，逐漸整合兩套國際標準管理系統之作業流程，並通過後續審查，目前有9項表單及文件整合共用。藉由ITSM及ISMS流程，建立單一服務窗口機制且落實事件、問題及變更等3項基本管理流程，提高資訊作業品質及安全。且藉由標準化管理機制，減少單位內部因人員異動而造成的管理疏失。並在過程中建立工作紀律，形成組織文化。資安人員亦規劃全署資安教育訓練活動，發布資安O K棒短訊，用以通報資安威脅及因應方法等宣導資安重要性。

以有限資源發揮最大效益的衛生署藥檢局

　　衛生署藥檢局於97年通過ISO27001驗證，以公文檢驗管理系統及機房為驗證範圍，輔導與落實範圍除藥檢局全局各組室及全部系統外，並包括中、南、東部檢驗站。由政風室主導內部稽核，並將結果彙報至資安長，同時配合外部稽核單位，包括第三方驗證機構及上級單位，如衛生署、研考會等之稽核結果，持續改善。為落實推動資安，各組室由主管直接指定單位資安種子，負責資訊資產清點、資安推廣，而資訊小組在有限經費下，亦積極參與研考會相關指引實作及衛生署資安教育訓練，以取得更多資源。