農委會主管業務雖然屬於傳統產業,也就是農林漁牧等行政事務,但隨著網路普及,傳統產業也朝資訊化發展,而資訊化就得面對資安管控的問題,再加上資通安全會報要求A級機關需通過ISO 27001驗證,因此,農委會自2007年開始規劃建置資訊管理系統,利用4年期間取得全機關認證。
資安工作重點
農委會為眾多農漁民提供服務,如何維持資訊系統穩定運作,讓服務更有效率,是資安工作的目標,因此,當農委會遵循資通安全會報要求計劃建置資訊安全管理系統時,便已設定好短、中、長期三個階段性目標,從資訊中心、慕僚單位走向全機關,逐步達到全機關認證的終極目標。
資安管理制度:
然而,在取得證書後的內部稽核作業,才是能否持續落實ISO規範的關鍵,農委會結合政風室、培訓內部稽核種子人員,群策群力落實資安稽核作業。
培訓內部稽核人員:突破由IT人員擔任主導稽核員的常見作法,由各科室派出種子成員接受主導稽核員訓練,目前已培訓出45位主導稽核員。此做法的好處是,各科室皆有同仁了解資訊安全管理制度之建置及稽核工作,且透過這些內部稽核人員與科室內同仁溝通,執行該科資訊資產盤點/評價、風險評鑑等作業,使得會內由上到下、由資訊單位到非資訊單位,皆能確實執行資訊資源安全管控措施。
結合政風室進行稽核:由政風室主任遴選6名內部稽核人員,依據內部稽核查核表實施稽核,稽核完成後,受稽核部門需於一週內提出改善措施,並將稽核報告送資通安全處理小組審議。
落實營運持續管理計劃:以全機關觀點進行營運衝擊分析及風險評鑑,針對高風險系統每半年定期進行災難復原計畫整體測試之演練,對於需備份系統每半年定期執行回復演練,以確認資料之正確性。
資安成效
在ISMS建置過程中,資安團隊重新檢視自身的IT作業流程及資安設備,除了大幅度調整流程以提昇整體安全,甚至發現現有設備新功能,從中省下大筆IT預算。舉例來說,應用網路交換器發揮端點存取控制的效用,讓會內同仁無法任意將筆記型電腦或私人電腦連上內網,也因此省下額外採購設備的成本。
農委會推動資安,除了有一群默默打拚、堅持到底的資安團隊,還有高層主管支持而訂下的資安獎懲措施,因此能按照計劃達成全機關認證的目標,而這也再一次證明了資安工作不只是IT的責任,惟有全體動員、高層主管支持,才能讓資安政策之推行與落實更順利。
農委會主委陳武雄,各科室同仁一起參與資安稽核工作,才能確實執行資訊資源安全管控措施。
1. 資安團隊:1名專職人員
|
2. 服務範圍:約500位使用者、164台伺服器主機、500台電腦
|
3. 資安驗證:逐年擴大資安管理系統驗證範圍,2010年取得ISO 27001全機關驗證通過。
|
4. 主要特色:
(1) 重視內部稽核,結合政風室推動:已培訓45位同仁取得主導稽核員證照,擔任各科資安種子人員,深入推動資安、執行內部稽核工作。
(2) 資安團隊研究並善用現有網路設備,發揮端點控制效用,有效節省公帑。
|