為因應日益氾濫之資安威脅,提升資安能量,進而有效降低資安事件之發生機率,確保所轄關鍵基礎設施運作正常,中區水資源局持續且積極依資通安全管理法(以下簡稱資安法)及相關子法等規定辦理各項資安業務。
中區水資源局屬公務機關,業務涉及區域性或地區性之關鍵基礎設施事項,資通安全責任等級核定為B級。依資安法資通安全責任等級 B 級之公務機關應辦事項規定,核心資通系統需導入資訊安全管理系統及通過公正第三方之驗證。故自民國109年開始,即先行辦理集集攔河堰閘門控制系統之資訊安全管理系統導入事宜,並於同年7月順利通過ISO 27001:2013驗證。110年起則將中區水資源局轄管之集集攔河堰、鯉魚潭水庫、石岡壩及湖山水庫之閘門控制系統納入驗證範圍,預期可順利通過ISO 27001:2013驗證,以強化中區水資源局對關鍵基礎設施的資安防護能力,達成維持穩定供水之目標。
因關鍵基礎設施之OT環境(工業控制系統(ICS:industrial control system)的操作和程序控制,通稱為營運技術(OT:operational technology) )資安攻擊事件時有所聞,近期由中區水資源局提供場域,並積極配合水利署進行OT環境之單向傳輸、白名單機制、USB設備清洗及OT資安監測設備之驗證測試,期能保有OT資訊化之便利,亦能保障OT環境之穩定運作。
- 中區水資源局邀請安碁資訊股份有限公司資安長針對各單位主管講授資安課程
另外資安法對於資通安全專責人員及相關同仁之資通安全教育訓練亦非常重視,中區水資源局除依規定配置資通安全專責人員2人,亦要求關鍵基礎設施之主辦同仁積極參加各項資安教育訓練,並取得資通安全專業證照及資通安全職能評量證書,確保擁有足夠之資安能力,俾利相關業務之推動。目前本局計已取得ISO 27001:2013 LA證書4張,資通安全職能評量證書5張,日後亦將鼓勵同仁持續精進。對於一般使用者及主管,中區水資源局亦定期、多梯次辦理資通安全教育訓練,期能深化、內化同仁資安意識,以有效防禦因資安技術日新月異導致與日俱增之資安威脅。