行政院資通安全處高級分析師林春吟

今年1月,資通安全管理法正式施行後,該法將政府部門依照機關業務內容分成A、B、C、D、E等5個資通安全責任等級,不同級別對應到的資安執行事項也不同,其中針對資通安全要求更高的A級機關(全國性機關為主,如國防外交單位)、B級機關(區域性機關,如直轄市政府或公立區域醫院等),依法規定得要完成資安治理的成熟度評估,希望透過自我評量的方式,讓各機關可以持續強化資安自主與管理能力。

行政院資通安全處高級分析師林春吟在今日最後一天的臺灣資安大會上也預告,這套新的資安治理評鑑系統,不久即將上線,預計今年5月就會開始實施,屆時,機關就能進到系統來做自我評審,並依據評量的結果,掌握自身資安治理的成熟度,進而針對還不足的資安管理面向,持續改善精進。

在整個評審制度上,可依正三角架構分三層,分別是技術層(如存取管理、通訊管理等)、管理層(如資產管理、資訊委外管理等),以及最頂端的策略層(如資安治理架構、資安資源管理),總共11個管理流程構面,多達40道問項,來做為評分基準。

另外,還依據資安治理成熟度建立分級制度,分成0~5共6級,第0級代表未成熟,不具資安治理能力;再上一級開始具備基本資安治理執行能力。當來到第2級,則是加入流程管理機制,包括治理規劃、執行與監督等;第3級則更進一步將治理流程作業標準化;第4級開始運用歷史資料蒐集與分析建立可預策流程,持續改善治理流程。最後,第5級則是創新型,透過各種新技術,來優化資安治理各流程構面。

林春吟表示,今年設定的目標是至少30個A級機關要達到2級,長遠目標更是全部都達到3級,也就是能夠將資安治理制度納入,成為機關日常作業流程。對於遲遲無法達標或改善的機關,資通安全處也將予以輔導與協調,未來更將依據各機關評量分布情形進行分析,做為推動下一階段資安治理的參考依據。

不只要建立完備的資安基礎環境,在國家資安聯防體系的推動上,她指出,繼國家級N-ISAC資安資訊分享與分析中心、N-CERT電腦網路危機處理中心先後設置完成後,今年上半年也將會建置完成更複雜的國家級N-SOC資安監控中心,接著在下半年就會與全臺六都的SOC中心系統串接,藉此來建構國家層級的資安感知能力,實現自動化情資共享,以達成對資安持續監控、早期預警,以及緊急應變的目標。


Advertisement

更多 iThome相關內容