| 報告提送階段 |
| 期初 |
期初報告預定提交日
|
|
|
期初報告實際審查日
|
|
| 期中 |
期中報告預定提交日
|
|
|
期中報告實際審查日
|
|
| 期末 |
期末報告預定提交日
|
|
|
期末報告實際審查日
|
|
|
| 後續處理建議 |
評估本年度專案執行之各項工作與成果,建議局內相關單位及承辦人員除持續精進資安管控作為外,並需留意以下建議內容。
(一)111年度執行之相關稽核發現之短期矯正對策雖皆已完成,各單位仍須持續留意管控措施的落實,並於112年度檢視、確認有無類似狀況的發生,達到預防及降低風險的成效。
(二)經濟部業已發佈「經濟部能源及水資源領域工業控制系統防護基準」修正版,後續仍需持續評估相關規範的異動狀況,並強化各項管控措施作為,以符法遵。
(三)依據水利署的規定,核心工控系統範圍已將放流警報系統納入,屬需通過公正第三方驗證之範疇,未來必須規劃相關導入與認證作業,以滿足上級機關之規定。
(四)面對未來的ISO27001:2022轉版需求(預計為113年再次重新驗證時轉版),在後續ISMS的執行上,需積極評估與新版規範的差異,並調整必要程序規定。
(五)無論是資通系統防護基準或工控系統防護基準,針對各類系統之日誌紀錄留存,皆已規定需達到6個月以上,且需考量定期檢視作業; 由於此項規定涉及各系統日誌紀錄留存規劃和必要資源的安排,亦關係承辦人員日常維運時的落實檢視,因此仍需持續追蹤、檢視各系統的執行情況。 |
| 計畫研究成果 |
本局因應資通安全法規新規定,於111年度順利通過ISMS第三方定期追查作業,取得TAF核發之證書,確保ISMS驗證持續有效,並由專案團隊協助進行各項年度重要資安執行事項,包括資產盤點、風險評鑑、營運持續演練、人員教育訓練等工作,可謂成果豐碩。然而,因應第三方定期追查過程中的發現,以及近期法規異動情形和我國公務機關不斷面臨的資安威脅,本局仍應持續落實ISMS制度的推動,強化相關資安防護作業,並促進局內各單位遵循資安規範,以確保轄管關鍵基礎設施和重要資通系統的防護,達到保障經濟、民生穩定的重要目標。 |
| 應用情形及效益 |
本計畫相關執行成果應用情形及效益說明如下:
(一)透過相關工作的執行,協助本局有效降低可能面對的資通安全風險,進而健全局內資通安全管理制度,順利完成各項年度資通安全工作事項。
(二)協助本局符合資通安全管理法及其子法等相關法令法規要求,提升並強化局內各課室與轄管水資源關鍵基礎設施之相關資通/工業控制系統安全防護,並持續取得第三方定期追查作業有效之認證。
(三)持續提升局內同仁資安認知與技能,熟悉資通安全管理制度與個人資料保護作業事項,並滿足資通安全管理法專業資安證照取得之要求。 |