縣府資訊安全管理系統啟動
金門縣政府資訊安全管理系統專案昨日正式啟動!
研考室主任陳朝金於昨日召開的相關會議強調,這是資訊管理踏出劃時代的第一步,為示慎重及決心,他也特別做成「金門縣政府資訊安全管理系統」資安推動宣示,表達縣府全力支持的立場,除配合通過ISO27001的認證外,也希望各單位配合辦理,建立縣府優質資訊安全管理系統,訂定縣府暨所屬單位一體適用之資安政策。
陳朝金於宣示中表示,「金門縣政府為確保利用資訊相關資源之公務執行及安全,於有形無形(軟、硬體、文件、資料和流程)之有用資訊資產的完整性、可靠性及機密性,提供相對之安全性及可用性措施,達到『資訊安全,人人有責,資源共享,安全第一』,特於此會議宣示,全力支持專案組織對本案的推動,因該組織是資訊安全推動小組的專案執行編組,我們將排除萬難,全力配合通過ISO27001的認證,尤其專案成員與認證單位,更要加倍用心,其他單位也要配合辦理,建立縣府優質資訊安全管理系統,並訂定縣府暨所屬單位一體適用之資安政策」。
便利之外 資安亦重要
研考室主任陳朝金指出,這是資訊管理踏出劃時代的第一步。他說明,電子化是現今的時代趨勢,資安工作是看不見的東西,不如造橋鋪路具體,但卻是相當重要的事。由於有不少機關,甚至是機密單位,都有資料外洩的情形,因此,他認為,在追求便利之外,資訊安全也同樣應受到重視。
負責該專案的新光組合科技網路股份有限公司總經理李鴻生表示,行政院資訊通信發展推動小組九十年四月二十四日簽報行政院核定修訂「建立我國通信資訊基礎建設安全機制計畫」,並於行政院國家資通安全會報中,將全國各單位依資訊重要性分成A、B、C、D四級,中央各單位屬A級,縣政府屬B級,B級單位須於明(九十七)年底通過資訊安全管理系統的建置認證。
李鴻生說明,資訊安全相當重要,透過「金門縣政府資訊安全管理系統」專案的啟動,該公司將協助縣府於半年內建置資訊安全管理系統,全力輔導縣府相關資訊處理流程,通過ISO27001:2005標準之驗證,意即符合國際標準的資訊安全規範。
管理機制 要建立四化
新光組合科技網路股份有限公司也表示,希望透過專案的落實,強化縣府資訊安全體系,導入具備「規劃」、「執行」、「檢查」及「行動改善」之資訊安全管理模式,建立電子化、制度化、文件化及系統化的管理機制,持續監督及審查管理績效,以落實縣府資訊安全及業務持續營運之理想。
該專案主要目標為:建立縣府具備持續改善能力之整合性資訊安全管理制度,以達成「行政院國家資通安全會報」所訂資通安全第二階段推動方案各項作業指標;輔導縣府通過ISO27001:2005標準之驗證;整合縣府現行相關管理制度、機房管理及相關資訊安全管理系統文件之撰寫建立,強化整體資訊安全管理計畫,提供資訊安全管理平台,提高安全防護與應變能力;規劃辦理縣府資安訓練及教育推廣課程,以提昇相關人員資安管理與專業技術之能力;輔導整合縣府資訊安全管理制度之種子團隊;規劃整合縣府主機房稽核日誌收集及儲存,並可提供即時分類查詢。
專案範圍包括:驗證範圍為機房業務、研考室資管課、政風室之作業流程、人員及實體與所管理之資訊系統和相關設備;強化主計室相關作業流程及文件標準化;資訊安全教育訓練;規劃及建置主機稽核日誌管理機制。
採引導式 專案建手冊
新光組合科技網路股份有限公司將以「引導式」的手法進行專案輔導(全程使用「專案建置手冊」,由顧問引導資安團隊有系統地完成ISO27001資訊安全管理制度建置;完整的經驗與技術轉移,使資安團隊在取得驗證後,能輕易地將ISO27001資訊安全管理制度推展到其它單位);使用軟體工具導入ISMS(全程使用LOG資訊集中管理系統及「CISO資訊安全管理系統」,有系統地導入ISO27001資訊安全管理制度;可隨時因應縣府營運流程的變化,由工具即時重新計算潛在風險值,徹底解決使用EXCEL無法適切評估風險的困擾;滿足驗證單位的要求,如鑑別控制措施的有效性、風險評鑑結果的比較與驗證);完整的導入與KNOW-HOW移轉(系統軟體原廠顧問與講師進行系統導入與建置;系統建置過程中,提供客戶軟體使用與資安推動的諮詢服務,快速且有效的滿足縣府需求;提供完整的教育訓練)。
新光組合科技網路股份有限公司也提出推行該專案制度可能面臨的困難和問題,諸如:組織的資源挹注、主管的支持和重視;措施的改變和新增,會造成同仁不少議論和部分的抗拒;同仁以為是資訊部門的工作,實則是全體人員的參與;同仁以為是安裝一個自動化系統,實則是訂定規章與制度;同仁以為是按照顧問的指示做事,實則是參與討論與規劃;便利與安全的拉鋸戰,信任與質疑的衝突;同仁的參與與認知。
多重挑戰 需加強訓練
而未來建置完成之維持營運面臨的挑戰,計有:未持續監控組織之有效性變革管理;管理體系未能反應組織現況;資訊安全組織喪失功能;人力資源的變動;缺乏安控機制評估;新進系統未進行安全測試;缺乏系統強化及落實執行;認證範圍大幅變動;缺乏資安稽核計畫及執行;缺乏矯正預防措施;領導階層對資源承諾不足;一般同仁不瞭解或不支持體系。
新光組合科技網路股份有限公司後續也將配合縣府進行至少四十小時的資訊安全教育訓練,包含:通識教育訓練、ISMS主管訓練、ISMS稽核訓練、CISO使用訓練、LOG資訊集中收集管理系統使用訓練等。
會中也針對相關問題進行討論、協調,包括:是否召開資訊主管會報,讓大家知道資安政策推動的重要性,以及各單位須配合之處;各單位人員應有認知,共同支持配合該資訊安全專案的推動與落實等等。
