捷克論壇 JKF

 找回密碼
 加入會員
搜尋
doudou10722
王子 | 2009-5-13 19:55:49

行政院科顧組針對A、B級機關在2008年進行資安責任等級應辦事項調查,結果顯示A級單位達成率平均8成,但B級機關只在防毒有100%達成,資安認證達成率只有43%

由行政院科技顧問組在今年1∼3月底,針對A級和B級機關進行的一項調查顯示,已經有超過8成(83%)A級機關取得ISO 27001資安認證,B級機關取得資安認證的比例只有超過4成(43%)而已。行政院科技顧問組表示,行政院對於A、B級機關資安防護的關注不只在於資安認證取得與否,包括SOC(資安監控中心)建置、IDS(入侵偵測防禦)、防火牆和防毒機制安裝與否等,才是行政院判定A、B級機關資安防護是否落實的關鍵。

政府部門為了達到建立完整的資安防護體系,行政院在今年1月頒訂「國家資通安全發展方案(2009∼2012年)」取代第3期的「建立我國通資訊基礎建設安全機制計畫」。行政院科技顧問組執行秘書萬其超表示,近幾年來,網路已經和呼吸一樣,成為生活工作必需品,因此,網路資安問題也成為政府部門額外卻必要的負擔與支出,如何在有限的資源下進行資源妥善整合運用,往往是資安執行項目能否落實的主要原因。

萬其超表示,政府部門依據功能與重要性分成A、B、C級單位,在資安議題上,A級是主力單位,付出的努力、在乎程度和自覺性,也是所有單位中最好的。根據行政院在今年1∼3月底針對58個A級機關、316個B級機關所進行的「A、B級機關應辦事項執行情形」調查,在諸多資安事項的達成率中,A級單位在部署IDS、防火牆和防毒機制的達成率達到100%,B級機關只有在防毒機制建置上的達成率達到100%。

萬其超指出,A級單位在此次應辦事項達成率中,取得ISMS資安驗證的比例,從2007年的近7成(66%)提升到2008年的近9成(86%),但B級單位因為數量眾多,取得資安驗證的比例只超過4成(43%)而已。

行政院科顧組資安小組辦公室主任陳如芬表示,對政府機關而言,在整個資安部署中,取得ISMS認證反而是最後一個環節,從SOC建置,到部署IDS、防火牆、防毒機制、郵件過濾機制、ISMS驗證、內部稽核、專業證照到教育訓練等,彼此環環相扣,「ISMS驗證只是一個機關資安應辦事項達成率的驗收事項而已,」她說。

萬其超指出,從2001年成立資通安全會報後,科顧組便擔任幕僚的角色,與技術服務中心分工。他說,科顧組和技服中心彼此分工,當漏洞還是存在而機關單位無力處理時,就由技服中心代勞。面對資源不足時,萬其超認為,「資安意識的萌芽,有時候比更多資源分配更能發揮關鍵影響力,」但這往往需要更長期的潛移默化的影響。

陳如芬表示,由技服中心提供的各種資安服務,這兩年都陸續從A級單位擴展到B級單位,如內部稽核人員的訓練,而Web弱點偵測也在2008年從A級單位延伸到B級單位,技服中心也和主計處一起在2008年,協助B級單位作外部稽核。從歷年來政府機關資安演練的結果來看,陳如芬說,2004年模擬攻入比例為1.2%,到了2008年則降為0.16%,顯示政府機關在資安意識上的確已經有所提升。

為了提高公務人員的資安意識,在資安教育訓練中,科顧組針對不同角色與職能,設計Role-Based的資安數位教材,例如規定主官和一般人員,需要接受4小時的資安教育訓練,主管需要6小時的資安訓練,但A級機關技術人員需要18小時、B級機關技術人員需要16小時的資安教育訓練。萬其超指出,就A級機關而言,資安教育訓練的達成率平均超過5成以上,B級機關達成率更平均超過6成以上。

萬其超表示,隨著今年1月制訂了「國家資通安全發展方案(2009∼2012年)」取代第3期的機制計畫,其中對於許多關鍵基礎建設的保護與強化更加重視。他指出,這次的計畫中,科顧組更首度納入資安服務業發展策略,「不要讓資安變成賠錢貨,進而帶動資安產業的發展,」萬其超說,這是這次資通安全發展方案和以往最不同的地方,預計於8月中旬,召開第一次的資安產業策略會議。文☉黃彥棻


大圖http://www.ithome.com.tw/img/109/54884_1_2_l.jpg
回覆 使用道具
您需要登入後才可以回覆 登入 | 加入會員

回頂部 下一篇文章 放大 正常倒序 快速回覆 回到列表