Page 30 - 105年8月消防月刊
P. 30
工作研討 Work Discussion
一平臺對多個媒體管道發布即時災害預警消息, 依據行政院頒訂之「政府機關(構)資通安
包含簡訊、電視跑馬燈、電臺廣播、電子看板 全責任等級分級作業規定」,消防署為 A 級機
等)。又鑑於近來資安事件頻傳,為使系統運作 關,依規定需辦資訊系統分類分級、ISMS 推動
順遂,消防署積極採取相關資安防範作為。 作業、資安專責人力、內部稽核、業務持續運作
演練、防護縱深、監控管理、安全性檢測、資安
貳、消防署資安現況概述
教育訓練(一般主管、資訊人員/資安人員、一
一、落實資安規定 般使用者)、專業證照等事項,如下表所示。
■資通安全責任等級分級A級機關應辦事項一覽表
作業名稱 應辦事項
1.完成資訊系統分級。
資訊系統分類分級
2.完成資訊系統資安防護基準要求。
1.全部核心資訊系統完成ISMS導入。
ISMS推動作業
2.全部核心資訊系統通過第三方驗證。
資安專責人力 指派資安專責人力2人。
稽核方式 每年至少2次內稽。
業務持續運作演練 每年至少辦理 1 次核心資訊系統持續運作演練。
1.防毒、防火牆、郵件過濾裝置。
防護縱深 2.IDS/IPS、Web應用程式防火牆。
3.APT攻擊防禦。
監控管理 SOC監控。
1.每年至少辦理2次網站安全弱點檢測。
安全性檢測 2.每年至少辦理1次系統滲透測試。
3.每年至少辦理1次資安健診。
1.每年資安人員(資訊人員)至少2人次須接受12小時以上資安專業課程訓練或
資安教育訓練(一般主管、資訊人員
資安職能訓練。
/資安人員、一般使用者)
2.每年一般使用者與主管至少須接受3小時資安宣導課程並通過課程評量。
專業證照 每年維持至少2張國際資安專業證照與2張資安職能訓練證書之有效性。
二、通過第三方驗證
消 防 署 自 2011 年 起 導 入 ISO 27001 資 訊
安 全 管 理 系 統(Information Security Management
System, ISMS),持續改善,並於 2013 年 11 月
以消防署、4 樓資通訊機房及防救災雲端計畫系
統為範圍,通過國際 ISO 27001:2013 第三方驗
證;2015 年 12 月通過複審。資訊安全管理制度
已於消防署行之有年,持續每年進行風險評鑑、
■消防署 ISO 27001:2013 國際資安認證。
資訊安全管理審查及風險改善處理,資訊安全作
業已逐漸邁向成熟、穩健且進一步內化成組織文
化。
28 消防月刊 2016.8