為強化
水利署資通安全防護工作,
經濟部標準檢驗局於本(102)年10月3、4日蒞署進行資通安全外部稽核,瞭解各項資通訊安全工作落實情況。
稽核團由標檢局邱主導評審員建智擔任領隊,率同楊評審員秀瑟及余評審員耀邦共3員進行稽核。
本次資安稽核項目分為:「風險評鑑與管理」、「資訊安全政策」、「安全組織」、「資產管理」、「人力資源安全」、「實體及環境安全」、「通訊與作業管理」、「存取控制」、「系統取得、開發與維護」、「資安事件管理」、「營運持續管理」、「符合性」及「內部稽核及其他」等13大類,並由資訊室同仁分6組接受稽核。
稽核啟動會議由本署蘇主任與稽核團邱領隊共同主持,在完成稽核與受稽單位人員介紹並由資訊室黃簡正就本署資通安全業務概況進行簡報後展開分組審查,先由各分組針對評審員提問做出報告,接續進行佐證資料查核後,各分組評審員並赴現場了解實際作業情況。
稽核作業在4日中午由稽核團邱領隊宣布完結果後結束;
本署整體資通訊安全工作頗獲稽核評審員肯定,最終評定成績為『通過』。
後記:在政府與企業組織高度資訊化的時代,資訊安全管理(Information Security Management)已成為組織治理(corporate governance)極為重要的一環。國際標準組織(International Organization for Standardization)於94年10月15日宣布ISO 27001資訊安全管理國際標準,提供組織評估資訊安全管理是否符合國際標準的準據。
本署資訊室在歷經近一年努力下,終於再次通過ISO 27001:2005國際認證。此項成果,充分顯示了同仁在資安業務推動上追求卓越並與國際標準接軌的努力。
近年來,本署在行政院以及經濟部的指導下,積極強化各項資通訊安全防護措施,繼完成入侵防護、病毒防治、弱點修補、……等機制後,本署資安業務再次通過了ISO 27001的認證;今年資訊室與水文技術組同仁將同心協力,希望水文資訊整合服務網資訊系統亦能一舉通過ISO 20000:2011的認證。
未來本署將秉持著精益求精的態度,持續強化資訊安全管理,有效控管資訊安全風險,為全署同仁提供安全便捷的網際作業環境。
此外,新版的ISO/IEC 27001:2013資訊安全管理已正式發佈,由於在全球此標準的驗證數連年成長,本次的修訂將可有助保證,此標準持續地與各單位所面臨的問題和挑戰具有相關性。為確保本署的ISO/IEC 27001:2005驗證可用性,必需獲得所需的資訊和工具以用來瞭解標準的變化。本署將與標檢局密切合作,期待在未來兩年中順利轉換新版。