北區水資源局自108年奉行政院核定為資安責任等級B級機關,為符合「資通安全管理法」及其子法之B級機關相關規定,須進行核心資通系統ISMS導入作業,經完善核心資通系統資訊安全管理機制及措施,已於109年順利取得ISO 27001:2013證書(詳圖1),現同時持續依PDCA流程維持有效性,俾確保該局關鍵基礎設施資安防護作業,達成核心業務穩定供水目標。
圖1-北水局順利取得ISO 27001證書
北區水資源局為完成資訊安全管理系統導入作業,經辦理評估與撰寫資訊安全管理系統文件,共制訂16份管理程序書(含一階文件2份、二階文件13份、三階文件1份)及26份表單,其後依據訂定之管理文件(資訊資產管理程序書及風險評估與管理程序書)進行核心資通系統資產盤點與風險評鑑,110年度資訊資產盤點分5大類(人員類、硬體類、軟體類、電子資料類、書面文件類),共盤點出39項資訊資產,針對高風險項目擬定處理方向如下:
1. 微軟系列產品生命週期已終止,應進行相關產品升級、汰換或採取適當管控措施,以避免相關資安漏洞。
2. 目前處於ISMS導入初期,該局同仁尚未熟悉相關程序、規範,故定期針對同仁進行宣導與訓練,以提升資安認知。
北區水資源局於109年完成ISMS導入及取得ISO 27001證書後,110年再以既有ISMS範圍為基礎,將「寶二水庫水工閘門控制系統」納入ISMS實作,並接受認證單位外部稽核(詳圖2),以提升該局同仁對ISMS熟稔度,擴大導入範圍,朝全面提升資訊安全管控與落實努力。
圖2-北水局接受SGS公司辦理ISMS外部稽核