行政院是國家最高行政機關,負責國家政策發展方向,由於此乃敏感性業務、事涉國家密,自然成為駭客優先滲透的標的,為了強化資安,自2008年開始資訊室導入ISO 27001認證,98年加入部分組室,2010年第三階段則是院本部全院,三年三階段完成全院導入的工作。
資安工作重點
行政院業務性質特殊,時常與其他政府機關用電子郵件溝通業務,其資安工作目標不只是保護國家機密資料,更重要的是避免被駭客滲透、假借行政院名義濫發惡意釣魚郵件,而這得靠管理、教育訓練、及技術來達成。
資安管理
分三年三階段全院導入ISO 27001驗證,並結合政風室共同推動。
資安稽核結合政風業務:由政風室主導資安內部稽核作業,主動整併其所主管之相關規定至資安文件中,並協調各組室就矯正預防事項進行改正,維持資安稽核的獨立性佳。
培訓資安種子人員:要求各組室至少派一名同仁參加ISO 27001主導稽核員教育訓練,協同辦理資安稽核作業,目前共有30多位同仁取得LA證書。
賞罰嚴明:未參與資安訓練者或造成達違法程度之資安事件者,一律簽報院長議處,至於齊心推動資安之各單位有功人員,則予以專案敘獎。
資安教育
資安原本就是個嚴肅話題,為了讓同仁熟悉院本部資通安全基本要求,以文字賓果、教育短片等寓教於樂手法,宣導資安政策,加深同仁印象。
資安文字賓果活動:以賓果遊戲取代一般的口語傳播或是教條式宣導活動,一天有3個時段開放同仁上線參加賓果遊戲,率先連線者即可獲得贈品,同時資安負責人也會親自將贈品送到得主座位,以表重視,藉由參與活動的過程,讓同仁瞭解院本部基本的資安要求。
資安短片:撰寫劇本、自導自演,製作完成「資安一日」及「基本注意事項」教育訓練影帶,將院本部資安基本應注意事項及規定融入在短片中,作為線上訓練教材。
資安技術
製發數位憑證,並結合門禁卡功能,要求同仁於發送公務電子郵件時必須加簽章或加密,防止偽冒院本部同仁名義傳送錯誤或病毒電子郵件等資安事件。
行政院資訊室以服務態度推動資安,想盡各種創新方式吸引同仁參與及爭取認同,也因此,在院本部模範公務員選拔時,資訊室被票選為第一名,這說明了只要用心,做資安也能獲得同仁肯定,不一定只能是職場上的全民公敵。
行政院副祕書長陳慶財
|
1. 資安團隊:1名專職人員
|
|
2. 服務範圍:約500位使用者、58台伺服器主機、510台電腦
|
|
3. 資安驗證:三年三階段,逐步擴大資安管理系統驗證範圍,2010年取得ISO 27001全機關驗證通過。
|
|
4. 主要特色:
(1) 資安稽核工作結合政風業務:由政風室主導內部稽核作業,獨立性佳。
(2) 寓教於樂,以創新方式推動資安:超過5千人次參加「資安文字賓果活動」。
(3) 拍攝「資安一日」及「基本注意事項」教育訓練影帶,作為線上訓練教材。
(4) 以服務態度推動資安工作,資訊室同仁被選為模範公務員第一名。
|