南區水資源局(以下簡稱南水局)為提高單位內資訊安全防護能力,積極推動資訊安全管理制度(ISMS)導入與持續運作,並邀請資安顧問於今年2月進行實地訪視,以確認各項安全措施及相關作為落實情形,並提供改善建議。
資安顧問表示,網路主動攻擊防護和內部人員資訊安全作為未落實是目前資安管理最需要防範的兩大議題,為確保南水局持續落實ISMS管理制度運作與加強資安防護措施,資安顧問於實地訪視時,針對南水局核心工控系統與全局水文資訊系統進行深入了解,包括網路架構、資料庫安全性、資訊備份與備援機制、防火牆及入侵偵測系統、機房實體管理等重要安全措施。同時,資安顧問也於訪視過程中,針對南水局同仁資訊安全意識進行了解,並提供改善建議;資安顧問也提出說明,資訊安全並非僅由少數資訊安全人員前端防護即可,實際上仍有相當高比例的資訊安全事件發生肇因於一般同仁平時設備使用不慎,藉此次實地訪視機會提升同仁對資訊安全意識。
而隨著科技與技術的持續進步,未來面臨的資安挑戰仍然嚴峻,資訊安全問題也越來越複雜和多樣化。資安顧問建議除現有ISMS管理制度作為外,也應評估未來如何建立多層次縱深防禦的保護架構、更加快速便捷的備份還原機制、主動偵測與預警功能等,並且及早因應最新版的ISMS管理制度差異。
南水局將持續落實資訊安全政策及ISMS管理制度,並且加強同仁資訊安全教育,提升同仁資訊安全意識,建立全員參與、共同防禦的資安文化。