資訊安全管理系統標準化系列討論會心得報告

資訊安全管理系統標準化系列討論會-「推動資安治理」行動方案初探。
第一場：如何提升政府資通安全通報應變能力-行政院研究發展考核委員會-吳啟文
1、政府機要和次機要人員是對岸駭客鎖定目標，
這也是資訊安全人員無法也沒有權限去檢查這些人的電腦。
2、USB隨身碟的資料，只要一中毒，插入家用電腦，隨身碟內的資料就會被複製一份到家用電腦，電腦一上網，隨身碟的資料就會透過電腦送到駭客的電腦裏。

3、學校資安事件：電腦被偷，電腦裏面有存在個人資料，例如學生資料、老師資料等。個人資料保護法己經通過，這些資料被偷走，也會有問題，因為損及他人的個人資料。

4、公務人員分為四類：主管人員、非主管人員、資訊人員、資安人員，其中主管人員和非主管人員要上資安課程，可以透過線上學習。資訊人員和資安人員一定要上實體資訊安全課程。

5、政府資通安全管理的3E策略：技術工程、執行管理、教育宣導。我覺得這三個方面是執行資安工作的一個很好依據。讓我們在所有資安工作中，可以分為這三類。

6、資通安全不完全是「技術」問題，更重要的是「管理」議題，如何建立資安政策、規範及相關規定，以皮甘何落實執行，並建立資安意識定期演練。>>管理層面的資安，是所有資安的開始，如果管理階層不想要投入太多資安量能的話，從事資安的工作者，也不會想要多做些什麼，上面沒有支持，也不會有太多資源，最終會成為空談。

7、資安通報與威脅情資分享平台-資訊交換文件-各種單位分組-各單位：透過xml的技術，讓固定格式的文件可以有效率的通知大家，各種資安事件的發生和警告。

8、日本的隨身碟管理：日本機密公務單位，只要人員上班，一定要到固定地點領取專門隨身碟，上班一定要在個人電腦上插上隨身碟，才能工作，因為所有的電腦工作，都是經過隨身碟的加密系統，所以隨身碟離開電腦後，整台電腦的資料都會被鎖死，達到資安的工作。這樣的技術台灣也有開發，不過都是外銷到國外使用，國內沒有這樣的市場。

第二場：資訊安全治理與整合性風險管理-行政院海岸巡防署通電資訊處資通安全科-鄭博文科長。

本討論是由鄭科長對海岸巡防署的資訊安全工作的經驗分享，大綱如下：

一、組織架構暨資安分工簡介

海巡署的單分依署、總局、地區局來劃分四種等級，透過不同的等級來執行資安工作。這樣的分類方法，如同政府單位與學術單位依組織影響社會的層級來分級執行資安工作。去年完成資安監控中心(SOC)。並持續增加資安證書。

原則集中；例外分散的半集中網路資安架構。

二、資通安全管理現況

資通安全的管理規範架構與各階文件制訂流程，皆符ISO的ISMS的精神。

資通安全組織分為三組：資安推動組、風險處理分組、稽核分組

海巡資訊系統三層式架構：分為應用層安全、主機伺服器安全、資料安全。

目前所有電腦皆加入網域控制，因此所有人只有加入網域，才有資格開啟海巡署內部網路內的電腦使用。

三、風險管理作為

風險評鑑與管理規範：透過「資訊資產管理作業程序書」與「資訊安全風險評鑑與管理作業程序書」做完整的規範。

資安風險處理長期目標：資訊安全管理制度、資安防護管理中心、營運持續管理機制、內外網實體隔離、個人憑證存取控制。

軍人的觀念：多重目標；多重選擇，但是只有一個人，所以要評估目標，慎重選擇。

四、資安治理與整合性風險管理之實作經驗

本討論僅分享海巡署在資安管理上的經驗。

資安事件處理PDCA循環：

資安事件處理流程建立修訂->do->資安事件發生之通報、應變及處置->CHECK->資安事件處理成效稽核追蹤->ACTION->每日召開視訊會議研擬改善方案並執行->(重覆)

海巡署資安願景：打造安全、可信賴、永續經營資通作業環境，確保資訊資產機密性、完整性及可用性，支援海岸巡防務，維護國境安全。