Page 308 - 捷運技術 第46期
P. 308
302 蔡崇熙 資訊查核作業與管理
本府資訊處亦曾於99年8月至本局執行「98年度資訊查核」(如圖3~5),綜觀查核內
容可概分為資訊效率及資通安全二項,對於查核項目及本局辦理情形分述如後:
圖3 外部查核簡報 圖4 資訊查核-檢視查核文件 圖5 資訊查核-檢視電腦機房
(一) 在資訊效率查核方面,最終目的在瞭解本局對於資訊資源及資訊預算之執行效率,檢討
規劃管理作為,項目包括:
1.妥善規劃資訊運作環境,促進資訊資源充分運用。審查本局擬訂並提報市府核定之
「捷運建設資訊作業計畫」,檢討本局年度資訊系統業務狀況,資訊單位與業務及應
用系統使用單位之溝通狀況,綜整業務使用單位之需求與建議,做為評估本局主機、
伺服器、網路等資訊環境規劃之依據。
2. 所屬各機關落實執行計畫。本局所屬各工程處每年均就資訊業務推動項目及概算提報
本局審查,由本局評估發展之必要性並配合給予指導與協助,以落實計畫確實執行。
3. 積極規劃開發決策支援、知識管理等系統。本局多年以來即陸續整合現有應用系統之
相關資訊建立「決策支援系統」,經逐年使用及檢討並加以優化。自96年起完成本局
知識管理系統,提供同仁檢索捷運工程建設相關資訊,以日臻完善普遍使用。
4. 加強電腦機房節能省電措施,落實節能減碳政策。本局電腦機房自97年度起已關閉無
作業需求之照明設備,依據資訊設備使用規範設定電腦機房室溫在22~24℃之間。98
年度新購置之主機伺服器已朝機櫃集中化存放及虛擬化方面建置,以節省電費支出。
5. 在委外服務效率上,於契約中訂定服務水準協定,並定期評估其適切性與合理性,提
高服務品質。本局對於資訊業務均於委外合約中詳細訂定服務內容與工作基準,並有
專人每日追蹤監督作業狀況,召集與該案有關之單位及人員辦理工作檢討會,綜整各
方面之意見,以做為後續改善或下次委外作業時服務水準調整之參考。
(二) 在資通安全查核方面,主要查核落實資訊安全政策及資料之安全,包括:
1. 落實資訊安全政策,訂定機關資訊安全政策。本局訂有資訊安全政策,並以書面、電
子或其他方式將本局資訊安全政策告知員工、連線作業之公私機構及提供資訊服務之
廠商共同遵行,發文及上網公布,要求本局相關人員及廠商均應遵循本局資訊安全政
策,同時每年定期配合政風單位,辦理資訊查核落實資訊安全作業。
2. 有關機密性及敏感性資料之傳輸或儲存應定期檢核控管,確保資料處理之安全。本局
對於限閱資料嚴格管控使用者存取權限,使用者必需經過申請核可才能進行查閱,對
於極重要之機密性及機敏性資料,均採實體隔離方式作業,同仁對於須採加密儲存之
資料可透過自然人憑證工具予以加密認證,以確保資料安全。
3. 有關重要資訊系統,應請建立日誌檔(Log file)管理稽查機制,強化系統與資料應用
之監控。本局所有主機、伺服器均已啟動事件檢視記錄功能,對有問題之異常事件加
以追蹤處理。