https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

台中民政局資訊化跑得快 資安認證也早起步

2012 / 09 / 04
吳依恂
台中民政局資訊化跑得快  資安認證也早起步

民國84年,戶役政系統是當年的政府單位裡面最早資訊化的系統,由內政部統一建置。由於地方戶政單位沒有資訊單位與人力,因此幾乎所有的資安、機房維護都是由戶政的業務單位兼著作,並且由協力廠商從旁協助。儘管如此,民政局戶政科股長黃坤志認為,其實業務單位兼資訊單位也有好處,因為他們也是最了解業務需求的人。(見下圖)

 

台中市政府民政局資訊安全管理委員會架構圖

 

資料來源:台中市政府民政局提供。2012/2

 

民眾戶籍資料受重視 機關、主管大力支持

既然戶政系統很早就E化,在業務範疇也使用許多電子資料,其資安重要性,不言而喻。臺中市政府民政局為市政府所屬一級機關,其業務分工組織,共有區里行政科、地方自治科、宗教禮俗科、戶政科、兵員徵集科、勤務管理科等6科,行政單位則包含秘書室、人事室、政風室、會計室及資訊室。

由於戶役政單位的業務內容會接觸許多民眾的個資,也使得戶役政單位成為一個明顯的目標。黃坤志說,尤其是這些年來,常會出現一些戶政單位資料外洩新聞。此外,在民國95年剛開始出現詐騙新聞時,也常會有民眾打電話到戶政單位來罵:「怎麼剛去完戶政單位辦完事情,就有詐騙電話打來?」無論如何,都是一個持有眾多個資的高風險單位。也因為這樣,黃坤志說,民政局長也一直都很支持國際資安認證ISMS的導入,尤其是戶政科跟兵員徵集科是最需要保護的兩個單位,因此未來的計劃也是先完成戶所(戶政),再完成區公所(包含兵役)。不僅如此,當時市政府的研考會單位也相當重視資安,因此雖然民政局是B級機關,卻仍與稅捐、地政等機關被指定納入第一批導入名單。

台中市政府民政局更因此成為全台灣第一個通過ISO 27001認證的地方戶政單位。剛開始,大家只想先從一個機房開始導入認證就好,但是,當時的台中市政府民政處處長沐桂新卻認為,應當要從作業流程面著手,才可以真正改善到民眾使用的業務系統,這個想法貫徹直到現在,現任的局長王秋冬也還是相當支持,也會事先與轄下的各戶政事務所主任宣示,黃坤志說,你能夠感覺得出來局長並且不只是支持而已,在開會的時候,局長甚至對於一些實務的細節也很瞭解。 

 
台中市政府 民政局戶政科股長 黃坤志

從推動資安到營運不中斷

97年,台中市政府民政局剛開始導入ISO 27001時,先期是從機房開始導入,再慢慢拓展到前端的戶政所、區公所的前端作業,黃坤志說,整個導入過程順序可以說是(A)硬體、主機機房(B)作業流程面(C)人員組織。因此,不僅是機房,對於整個實體環境的管理也有所改善,包括從民眾申請書的受理、影印、歸檔、到庫房簿冊的管理,都是從戶役政的業務作業角度來考量。(見圖)

   

空白身分證廢料監看銷毀與記錄:舊身分證需按規定繳銷民政處,空白身分證及膠膜應確實保管與點交,身分證製證後廢料銷毀應依權責監看與記錄。 

機敏資料傳真記錄:戶政資料不開放電話查詢,機關來文查詢戶政資料,須以電話進行人員身份確認,以傳真機回覆機關查詢戶政資料需記錄傳真電話及收件人以確保機敏資料不外洩。

 

全程監看機敏檔案搬運銷毀作業:機關機敏檔案銷毀需簽核,並由政風及檔管人員全程監看銷毀作業。

備份磁帶進出點交

並且,在教育訓練時,台中市政府民政局還特別針對戶役政單位,設計了一百多題資安小常識的題庫,並且舉辦有獎徵答活動,讓同仁可以比較用比較輕鬆的方式來吸收知識。(詳見《資安人》網站二手市集「戶政事務所、區公所人文課-資安小常識」)在導入ISMS這麼多年後,黃坤志說,感覺到同仁不僅是可以接受,也已經將資安慢慢內化。例如有時候在推創新服務,需要跟其他單位互相提供資料,或是導入新系統時,業務同仁也都會主動反應,考量是否會有資安疑慮?

民國98年,發生了八八風災,有鑑於當時南部戶政單位資訊系統也受創,使得民眾無法辦理一些基本的出生死亡事宜,例如沒辦法開死亡證明書等。所以除了通過國際資安認證以外,當時,內政部也提出營運持續管理(BCM, Business Continuity Management)的演練概念。黃坤志說,跟其他政府單位不同的是,因為戶政單位過去已經很習慣資訊化,反而是必須要演練如何重新回到紙本作業,並且要在系統回復後也可以將紙本資料復原到系統。隔年,在內政部更換過備援系統後,如今已是雙備援,並且對地方政府來說,介面也更容易操作了。接著,在民國99年五都的縣市合併後,不只是資訊流程面臨到改變,對於資安認證也是。黃坤志說,在台中縣市合併之前,從後端機房到前端的戶政役單位,已經有8個單位通過認證,在合併後,也已完成全市29區戶政事務所通過驗證,在今年3月份台中市治安會報上,胡市長也裁示102年要編列預算將原台中縣的21個區公所納入認證範疇。

續推資安認證 積極因應個資法

在縣市合併後,民政局也成立了資訊室,因此有了更加專業的資訊人力,不過,目前來說機房、ISO27001驗證等工作,仍由原本的戶政科負責,新的資訊室人力目前主要是籌劃個資因應事宜。黃坤志提到,局長認為個資不只是存在於戶政科、兵役科,還包括禮俗、會計、人事等單位,所以個資保護小組也是由各單位組成,目前台中市政府民政局已訂有個資保護作業要點規範,由副局長(資安長)主導,之前還曾經邀請臺北地檢署主任檢察官前來上課、交流意見,足見其重視程度。因此未來除了計劃擴大ISO 27001認證範疇到全部的區公所以外,也將針對個資法有更進一步的因應。

台中民政局小檔案

局長 王秋冬
員工人數 90人
IT人力 2人
主要業務

臺中市政府民政局為市政府所屬一級機關,承市長之命,指揮監督本市各區戶政事務所、生命禮儀管理所及孔廟忠烈祠聯合管理所等所屬機關;

臺中市政府民政局之業務分工組織,共設有區里行政科、地方自治科、宗教禮俗科、戶政科、兵員徵集科、勤務管理科等六個科,及秘書室、人事室、政風室、會計室及資訊室