Page 30 - 105年8月消防月刊
P. 30

工作研討 Work Discussion






           一平臺對多個媒體管道發布即時災害預警消息,                                  依據行政院頒訂之「政府機關(構)資通安
           包含簡訊、電視跑馬燈、電臺廣播、電子看板                               全責任等級分級作業規定」,消防署為 A 級機
           等)。又鑑於近來資安事件頻傳,為使系統運作                              關,依規定需辦資訊系統分類分級、ISMS 推動

           順遂,消防署積極採取相關資安防範作為。                                作業、資安專責人力、內部稽核、業務持續運作
                                                              演練、防護縱深、監控管理、安全性檢測、資安
           貳、消防署資安現況概述
                                                              教育訓練(一般主管、資訊人員/資安人員、一
                一、落實資安規定                                      般使用者)、專業證照等事項,如下表所示。



                                    ■資通安全責任等級分級A級機關應辦事項一覽表
              作業名稱                           應辦事項
                                             1.完成資訊系統分級。
              資訊系統分類分級
                                             2.完成資訊系統資安防護基準要求。
                                             1.全部核心資訊系統完成ISMS導入。
              ISMS推動作業
                                             2.全部核心資訊系統通過第三方驗證。
              資安專責人力                         指派資安專責人力2人。
              稽核方式                           每年至少2次內稽。
              業務持續運作演練                       每年至少辦理 1 次核心資訊系統持續運作演練。
                                             1.防毒、防火牆、郵件過濾裝置。
              防護縱深                           2.IDS/IPS、Web應用程式防火牆。
                                             3.APT攻擊防禦。
              監控管理                           SOC監控。
                                             1.每年至少辦理2次網站安全弱點檢測。
              安全性檢測                          2.每年至少辦理1次系統滲透測試。
                                             3.每年至少辦理1次資安健診。
                                             1.每年資安人員(資訊人員)至少2人次須接受12小時以上資安專業課程訓練或
              資安教育訓練(一般主管、資訊人員
                                             資安職能訓練。
              /資安人員、一般使用者)
                                             2.每年一般使用者與主管至少須接受3小時資安宣導課程並通過課程評量。
              專業證照                           每年維持至少2張國際資安專業證照與2張資安職能訓練證書之有效性。






                二、通過第三方驗證
                消 防 署 自 2011 年 起 導 入 ISO 27001 資 訊
           安 全 管 理 系 統(Information Security Management

           System, ISMS),持續改善,並於 2013 年 11 月
           以消防署、4 樓資通訊機房及防救災雲端計畫系
           統為範圍,通過國際 ISO 27001:2013 第三方驗
           證;2015 年 12 月通過複審。資訊安全管理制度

           已於消防署行之有年,持續每年進行風險評鑑、
                                                                       ■消防署 ISO 27001:2013 國際資安認證。
           資訊安全管理審查及風險改善處理,資訊安全作
           業已逐漸邁向成熟、穩健且進一步內化成組織文

           化。




           28   消防月刊 2016.8
   25   26   27   28   29   30   31   32   33   34   35