Transcript 業務工作報告 - 宜蘭縣政府人事處

業務工作報告
資訊管理科二股
報告人：洪祖凱
101年7月24日
簡報大綱
 辦理業務項目
 常用法令依據
 重點工作推動情形及成效
 經驗分享
 結語
辦理業務
項目
本局
資訊安全業務
之執行
宜蘭縣政府
資訊安全
管理系統
(ISMS)之執行
賦稅資訊系統
整合再造更新
整體實施計劃
之執行
協助推行
個人資料
保護法
相關事項
財稅內網
(EIP)
稽核管理系統
(YMS)
資訊安全
管理系統
(ISMS)
主管交辦事項
常用法令依據(1)
 本局相關資通安全12項規定
 資訊安全政策
 資訊安全條款
 資通安全內部稽核實施要點
 永續經營實施要點
 人員及資訊設備安全評估作業要點
 資訊系統存取控制管理要點
 網路安全管理要點
 電腦機房環境安全管理要點
 攜帶型資訊設備使用管理要點
 資產類別與資產價值、風險評估要點
 資通安全緊急應變要點暨作業處理程序
 電子郵件帳號管理暨使用規範
常用法令依據(2)
 宜蘭縣政府資訊安全管理系統(ISMS)
第一階文件
政策1份
第二階文件
程序書12份
第三階文件
工作說明書8份
第四階文件
紀錄/表單39種
常用法令依據(3)
 行政院及所屬各機關資訊安全管理要點
 行政院及所屬各機關資訊安全管理規範
 財政部暨所屬各機關(構)資訊安全管理準則
 國家資通訊安全發展方案(98 年至101 年)
 政府機關（構）資訊安全責任等級分作業施行計畫
 國家資通安全通報應變作業網要
 宜蘭縣政府及所屬機關資訊安全管理要點
 宜蘭縣政府員工電子郵件信箱管理暨使用規範
 個人資料保護法
重點工作推動情形及成效(1)
政府機關（構）資訊安全責任等級分作業施行計畫
應執行之工作事項
作業
名
稱
防護縱深
ISMS推
動作業
等級
B級 SOC(選項)
、IDS、防火
牆、防毒、
郵件過濾裝
置
於100
年前通
過第三
者驗証
資安教育訓練(一般
稽核 主管、資訊人員、
方式 資安人員、一般使
用者)
專業
證照
檢測機
關網站
安全弱
點
每年 1.每年至少(3、6、 維持至 每年1
至少
16、3小時)
少1張 次
1次 2.資訊人員、資安 資安專
內稽
人員需通過資安 業證照
職能鑑定
1.B級(核心)：各政府機關(構)具有影響社會秩序、民眾隱私之機敏資料或
維運機關(如各縣市政府、警察局、地方稅捐單位)。
2.驗證範圍應涵蓋機關（構）之核心業務資訊系統，並逐步擴大至全單位。
重點工作推動情形及成效(2)
 宜蘭縣政府資訊安全管理系統(ISMS)
 由縣府編列經費(99年7月~102年6月)
 聯合建置單位：計畫處、地方稅務局、警察局、地政處、
宜蘭地政事務所及羅東地政事務所。
 文件框架：第一、二階文件由聯合建置單位共同建置，
第三、四階文件各建置單位依機關業務需求特性自行發
展建置。
 本局驗證範圍：機房、系統及網路設備之營運、開發與
維護作業(1.機房2.地方稅資訊應用系統)。
 100年6月取得ISO/IES27001、CNS27001雙認證書，有效
日期至103年6月，並於101及102年進行復檢。
 宜蘭縣政府預計續編列ISMS經費(102年7月~105年6月)
；103年ISMS證書須換證並重新驗證。
重點工作推動情形及成效(3)
 宜蘭縣政府ISMS
 辦理風險評鑑作業(100年11月，一項高風險項目並處理)
 辦理業務持續運作演練
 100/9空調失效
 100/10地方稅資訊應用系統DB主機無法提供服務
 100/12電力系統故障(市電中斷且發電機故障)
 辦理弱點掃瞄作業(100/12/初測、101/1/複測)
 編修文件 (100年12月修12份文件、101年4月修2份文件)
 辦理內部稽核(101/3/15，稽核員提出二項待觀察事項)
 彙整管理審查會資料(101/4/20，副縣長召開，各建置點
資安組長與會)
 辦理外部稽核(101/5/4，稽核員提出一項建議事項)
 辦理資訊安全教育訓練(101/6/7協辦)
重點工作推動情形及成效(4)
 配合宜蘭縣政府辦理資訊安全工作
 參與計畫處-通報演練(100/10/20)：
 參與計畫處-資訊系統分類分級與鑑別機制(100/10)
 辦理本局執行說明會(100/10/24)
 彙整各科/室執行資料，函報縣府計畫處
 參與計畫處-電子郵件社交工程演練
 (100/10/11~101/10/15)
 4名同仁開啟郵件，指定上數位資安課程
 (101/4/10~101/4/13)
 8名同仁開啟郵件，於5/18~5/23分梯參加縣府資安課程訓練
 配合政風處-機關間資訊安全內部稽核(100/9/23~28)
 本局個人電腦配合稽核員稽查，受稽結果：無缺失
重點工作推動情形及成效(5)
 本局資訊安全業務
資安宣導
CCTV影像檔、防火牆LOG檔、web資料檔每月備份
資訊小組每月稽核資料彙整
資訊安全稽核前教育訓練(100/10/19)
資訊安全內部稽核(100/11/02~/100/11/08)
重點工作推動情形及成效(6)
 賦稅資訊系統整合再造更新整體實施計劃
財稅內網：單一入口網頁驗證使用者身分，提供整合
介面，顯示個人相關的系統資訊。
 需求確認、文件審查(14份文件)、上線測試
 辦理PKI元件安裝作業說明會(101/7/22)、自然人憑
證滙入與臨時憑證申請作業說明會(101/7/2)
稽核管理系統：收集及分析賦稅資訊系統各伺服器之
稽核軌跡紀錄收集及分析。
 需求確認、文件審查(14份文件)、上線測試
重點工作推動情形及成效(7)
 賦稅資訊系統整合再造更新整體實施計劃
資訊安全管理系統(ISMS)：
 範本文件審查(目前由代表地方稅局/處討論中)
 只提供文件範本，不提供導入輔導及驗證
 ISMS已導入並取得驗證之地方稅局/處不強迫採行範本
文件，但財稅中心要求必須遵行之規定須配合辦理
 各地方稅局/處須配合辦理風險評鑑作業(針對賦稅資
訊系統設備、相關網路設備及在地系統設備)
 文件架構：第一階文件：政策1份、第二階文件：程序
書14份、第三階文件：工作說明書11份、第四階文件：
紀錄表單目前討論中
重點工作推動情形及成效(8)
 個人資料保護法
99/04/27立法院三讀修正通過，05/26總統公布
法務部預定101/10/31公布個資法施行細則
參加個資法研討會
經驗分享(1)
 本局資安要點、宜蘭縣政府ISMS與財稅資料中心ISMS相同依
循法規：
行政院及所屬各機關資訊安全管理要點
 宜蘭縣政府ISMS與財稅資料中心ISMS相同依循法規及國際規
範：
行政院及所屬各機關資訊安全管理規範
國家資通訊安全發展方案(98年至101年)
ISO/IEC 27001 & CNS 27001
 本局資安要點、財稅資料中心ISMS相同依循法規：
財政部暨所屬機關(構)資訊安全管理準則
 本局資安要點特定依循法規：
宜蘭縣政府及所屬機關資訊安全管理要點
經驗分享(2)
 ISMS第一、二階文件維持依循縣府ISMS第一、二階文件規範
 資安主管機關、經費來源：宜蘭縣政府
 ISMS第三階文件變更依循財稅中心ISMS第三階文件規範
 業務主管機關：財政部財稅資料中心
特定情況：
 增修於本局第三階文件中
 財稅中心ISMS第一、二階文件規範要求於未訂定在縣府ISMS第一、
二階文件規範中
 縣府ISMS第三階文件規範要求於未訂定在財稅中心ISMS第三階文件
規範中
 採行嚴謹的方案(不相互抵觸)
 以核心業務的要求(相互抵觸)
 財稅中心ISMS四階文件規範與縣府ISMS四階文件規範均有規定項目
經驗分享(3)
資訊安全工作能力雷達圖
網路、電腦基本知識
30
20
10
擇善固執
計劃
0
單位：%
表達
整合、協調
結語
資訊安全，由個人做起
個資保護，從自我出發
安全原則，不容退讓
執行方法，總有最佳
報告結束