Page 309 - 捷運技術 第46期
P. 309
捷運技術半年刊 第46期 303
4. 在委外服務安全上,有關資訊業務委外服務,應就保密條款、資安協定、資安責任及
作業程序等加強規範,並確實執行。本局辦理委外作業時,於合約中明訂定資訊安全
相關條款,並就雙方責任及作業程序予以規範,所有參與委外作業廠商人員均要求其
簽署保密切結書,以加強委外作業時資訊保密的安全。
5. 定期辦理電腦設備弱點掃描,防止資安漏洞造成資訊外洩危機。本局透過教育訓練、
會議或郵件方式呼籲同仁定期更新電腦系統。引進電腦資產管理軟體不斷掃描各種電
腦設備設定,關閉後門程式防止駭客入侵竄改或竊取資料,市府每年亦派員至本局辦
理弱點掃描,事前防範及早發現漏洞或缺失。
6. 本局資訊安全應變作業
查核本局資訊安全應變計畫,其目的在當發生資安災害時能迅速採取適當緊急應
變措施,並建構本局資通安全危機通報管道。緊急應變體系上,本局設置常態任務編
組「資通安全處理小組」及下屬資通安全處理小組通報窗口,執行資訊安全應變業
務。對於內部危安事件、外力入侵事件(如病毒感染事件駭客攻擊事件)、天然災害
或重大突發狀況訂定復原作業程序手冊。另外查核資安演練紀錄,包括資通安全通報
演練(每年一次)及防範惡意電子郵件社交工程演練(每年二次)。
綜觀本局接受本府外部查核雖無重大缺失但受益良多,瞭解「魔鬼都藏在細節裡」之道
理。外部查核是內部查核之延伸,透過機關外部專家學者組成之資訊查核團隊進行資訊查
核,可協助解決本局自辦內部查核的迷失,提供資訊管理人員學習或體驗到整體資訊管理體
系內沒見到的缺失,讓參與人員再次檢視及學習到平常管理上可能疏忽的細節。
五、資訊查核未來努力方向
近年來由於資訊科技的進步,全球邁入網際網路化,使得資訊更為普及成為數位化時代,
無論政府組織或企業組織面對不斷創新延伸出新思維而提高組織效率,由於各方對追求效率殷
切,組織安全也變成另一項挑戰,就由於資訊科技進步帶來組織進步,其實組織安全的背後全
是資訊安全在挑戰,資訊安全面臨更嚴重多樣化安全威脅,更攸關組織甚至國家安全,其實這
種威脅或挑戰在未來將更嚴峻,所以,資訊安全層次將逐漸提高,資訊查核工作亦開始與資訊
科技相結合,資訊查核工作範圍不斷擴大,自人員安全、環境安全、設備安全乃至資料安全,
幾乎無所不包,近年來資訊查核已成為一項專門科學,未來將更趨向專業技術。
本局在資訊安全上一向秉持遵守行政院及臺北市政府資訊安全管理相關規定,惟政府之
資安作業規定係屬通則性原則,各機關必須思考融合本身業務特性及因應不斷變化外在環
境,研擬具機關特性之資安規範,例如本局除一般人事薪工、財務會計業務外,尚有工務管
理、聯合開發及土地徵收等,民眾權益息息相關之業務,資訊查核作業必須融合本局各項業
務。所以,本局資訊查核未來努力方向,包括:
(一) 個人資料保護法公布實施,加強個人資料安全保護之安全措施。
個人資料保護法於去(99)年5月26日總統公布,施行細則亦將公布施行,本局主要業
務無論捷運規劃、設計、施工或聯合開發、土地徵收業務均掌有民眾個資,所以,個資法對
本局之衝擊非常廣泛,而個資之儲存媒介包括數位化個資及紙本印刷之個資;儲存之位置包
括集中保管文件之檔案室或電腦伺服器,另外同仁在工作亦可能保有個資,所以,未來資訊
查核作業上對於個資蒐集、處理和利用應該更深入探討。
