行政院108年6月14日院臺護字第1080177093E號函核定南區水資源局資通安全責任為B級,須積極辦理資通安全管理法各項規定事項,以強化政府整體資安防禦之能量。
依據資通安全責任等級分級辦法B級之公務機關應辦事項,南區水資源局初次受核定之二年內,全部核心資通系統須導入ISO27001資訊安全管理系統標準,於三年內完成公正第三方驗證,並持續維持其驗證有效性。
南區水資源局陸續108年開始辦理「108年度資訊安全管理制度導入初期輔導專案」及109年「109年資訊安全管理制度(ISMS)導入輔導專案」等委辦計畫引導南區水資源局階段性導入資訊安全管理制度(ISMS),接續110年完成三年內取得第三方驗證之目標。
完整資訊安全管理制度(以下簡稱ISMS)須透過建置1個完整PDCA循環,並落實相關管控制度及程序,以提升資訊安全防護之強度,以下分別說明:
計畫(Plan):南區水資源局建置ISMS第一階程序書(2份)、二階程序書(18份)及三階作業標準書(7份),作為執行ISMS的依據,建立資訊安全政策、目標及組織,並做好風險管理。
執行(Do):經由南區水資源局各單位年度資訊資產盤點與風險評鑑作業,將資訊系統予以分類分級做檢視,同時亦辦理全局一般使用者及主管每人每年接受三小時以上之資通安全通識教育訓練,體認資訊安全之重要性,且南區水資源局並備有資通安全專責人員2名專責資通安全業務。
檢核(Check):針對南區水資源局有機房監控室之各單位撰寫其資訊系統「營運衝擊分析報告書」及關鍵設施「持續營運計畫書」作為年度資訊安全營運持續演練作業腳本並予以記錄。接續就到各單位針對核心系統執行內部稽核活動,檢視其資訊安全之妥適性。
行動(Action):藉由內部稽核所發現事項,除自行控管外,未能立即改善者將填列「矯正措施處理單」設定改善期限並追蹤辦理。
經由以上1個完整PDCA循環後,再由南區水資源局資通安全長(鄒副局長漢貴)召開年度資訊安全管理審查會議,報告資訊安全執行成果、確定資訊安全目標達成並持續改善等,形成標準作業流程(SOP),續為執行下1個PDCA循環。
110年為南區水資源局核定資通安全責任為B級之第三年,已擇由曾文水庫管理中心、高屏溪攔河堰管理中心及牡丹水庫管理中心等單位之核心系統參與驗證,屆時接受第三方驗證以展現本局執行ISMS之成果。