報告提送階段 |
期初 |
期初報告預定提交日
|
|
期初報告實際審查日
|
|
期中 |
期中報告預定提交日
|
|
期中報告實際審查日
|
|
期末 |
期末報告預定提交日
|
|
期末報告實際審查日
|
|
|
後續處理建議 |
本分署因應資通安全法規定,於 112 年度順利通過 ISMS 擴大驗證範圍之第三方定期追查作業,取得 TAF 核發之證書,確保 ISMS 驗證持續有效,並由專案團隊協助進行各項年度重要資安執行事項,包括現況訪視、資產盤點、風險評鑑、營運持續演練、人員教育訓練、工業控制系統(ICS)威脅偵測機制與資安演練等工作,可謂成果豐碩。
本計畫自 112 年 01 月執行至今,各項工作皆按既定之期程順利執行,計畫團隊執行過程中適時與本分署溝通協調,並依據相關回饋之意見調整執行細節,達成計畫相關目標。目前已於曾管中心與牡管中心建置可視化網路監控平台,蒐集工控主機設備狀態與系統日誌,透過可視化介面加強提供管理人員即時掌握各設備之資源與運轉狀態,進而確保系統持續營運。
本分署此次在牡丹水庫管理中心執行紅隊演練,透過紅隊演練形式驗證及檢視現有資訊安全管理及防護機制之有效性,提出持續改善及管理方式,強化本分署所轄水資源場域資訊基礎設施防禦能量。
然而,因應第三方定期追查過程中的發現,以及近期法規異動情形和我國公務機關不斷面臨的資安威脅,本分署仍應持續落實 ISMS 制度的推動,強化相關資安防護作業,並促進分署內各單位遵循資安規範,以確保轄管關鍵基礎設施和重要資通系統的防護,達到保障經濟、民生穩定的重要目標。
評估本年度專案執行之各項工作與成果,建議分署內相關單位及承辦人員除持續精進資安管控作為外,並需留意以下建議內容。
有關 112 年度執行之內部稽核與第三方定期追查作業,相關稽核發現之短期矯正對策雖皆已完成,各單位仍須持續留意管控措施的落實,以維持 ISMS 制度的有效,並於 113 年度檢視、確認有無類似狀況的發生,達到預防及降低風險的成效。
因應資通安全管理法於 110 年 08 月 23 日的修訂,經濟部業已於
111 年 09 月 16 日正式發佈「經濟部能源及水資源領域工業控制系統防護基準」修正版(經資字第 11104884320 號 令),由於本分署轄管之關鍵基礎設施工業控制系統皆須遵循此防護基準要求,後續仍需持續評估相關規範的異動狀況,並強化各項管控措施作為,以符法遵。有關經濟部版防護基準新舊版本差異說明,分列如下:
1. 存取控制構面:「帳號管理」及「遠端存取」控制措施內容有修訂;其中需留意「遠端存取」將 2 項原為中、高等級項目調整為普等級即需遵守。
2. 事件日誌與可歸責性構面:整個構面將「稽核」一詞修訂為「事件日誌」;而「記錄事件」控制措施新增 1 普級項目,明訂日誌記錄需保留至少六個月以上。
3. 營運持續計畫構面:整個構面將「測試」一詞修訂為「演練」,使營運持續演練之作法更具彈性。
4. 鑑別與識別構面:「身份鑑別管理」控制措施進行相關字詞修訂,並刪除原「強制新密碼最少變更字元數」之要求,以貼近實務 作業現況。
5. 系統與通訊防護構面:「資料儲存之安全」控制措施考量儲存作業多元性,允許加密作業之外之適當儲存方式,並明確定義包含重要組態設定檔案在內之相關具保護需求標的。
6. 系統與資訊完整性構面:調整「操作與維護日誌資訊留存」控制措施之字詞,以與「事件日誌與可歸責性構面」中所提之「事件日誌」有所區隔。
目前本分署 ISO27001 驗證範圍為三處管理中心之閘門檢控系統、水工圖控系統和水工機械操作系統,112 年亦依據水利署規定將核心工控系統範圍納入放流警報系統,並通過公正第三方驗證。後續也將規劃其餘兩處管理中心之相關導入與認證作業,以擴大資安防護之範圍。
新版ISO27001:2022 已於 111 年 10 月 25 日正式發佈,面對未來的轉版需求(預計為 113 年再次重新驗證時轉版),在後續 ISMS 的執行上,需積極評估與新版規範的差異,並調整必要程序規定,強化新控制措施的遵循作為,以確保轉版作業的順利推展。有關 ISO 27001:2022 新增之控制措施與預計增修之程序書如下表所示:
項次 控制措施編號
控制措施名稱
預計增修之程序書
1
6.3 變更之規劃 2-A080-1-00_資訊資產管理程序書
2
A.5.7
威脅情資 2-A090-1-00_資訊管控程序書、新增對應之 3 階作業標準書
3
A.5.23 使用雲端服務之資訊安全 2-A150-1-00_資訊委外管理程序書或不適用
4
A.5.30 營運持續之 ICT 備妥性 2-A170-1-00_持續性管理作業程序書
5
A.7.4實體安全監視 2-A111-1-00_實體環境安全管理程序書
6
A.8.9 組態管理 2-A090-1-00_資訊管控程序書
7
A.8.10 資訊刪除
8
A.8.11 資料遮蔽
9
A.8.12 資料洩漏預防
10
A.8.16 監視活動 2-A112-1-00_設備維護及安全管理程序書
11
A.8.23 網頁過濾 2-A090-1-00_資訊管控程序書
12
A.8.28 安全程式設計 2-A140-1-00_系統開發與維護程序書 2-A150-1-00_資訊委外管理程序書
無論是資通系統防護基準或工控系統防護基準,針對各類系統之日誌紀錄留存,皆已規定需達到 6 個月以上,且需考量定期檢視作業; 由於此項規定涉及各系統日誌紀錄留存規劃和必要資源的安排,亦關係承辦人員日常維運時的落實檢視,因此仍需持續追蹤、檢視各系統的執行情況,要求承辦人員或委外廠商依程序規範,使相關日誌紀錄留存和定期檢視的作為能夠確實實施。
5 個管理中心之可視化監測平台已建置完成,透過平台可監測工控環境主機狀態與日誌蒐集呈現,建議管理人員仍須定期登入平台檢視主機設備狀態,並觀察相關主機安全日誌是否有異常行為。另,本分署已將各管理中心之放水警報系统納入核心工控系統,未來將考量納入可視化監測平台之需求。
可視化平台現階段可監測場域主機資源狀態與蒐集場域主機日誌,並將相關資訊呈現於網站平台畫面,供本分署場域維運人員監測場域主機狀態。建議後續可持續優化可視化平台,針對場域主機所蒐集之資訊進行分析,提供更多元的資訊安全監測資訊,或可透過白名單限制來源 IP 存取可視化平台,提升平台安全性。
有關 112 年度執行牡丹管理中心紅隊演練作業,相關演練發現之短期矯正對策雖皆已完成,各單位仍須持續留意管控措施的落實,後續也須持續監測場域營運狀態與安全性,並強化各項管控措施作為,達到預防及降低風險的成效。
因應 113 年度 ISO 27001:2022 轉版驗證,本分署規劃預計推動期程如下表:
規劃執行時間
辦理內容
112 年 12 月
相關新版程序文件討論
113 年 01 月
新版程序文件修訂完成
113 年 02 月 辦理第 1 次管理審查會議
113 年 03 月 完成資訊資產盤點
113 年 04 月 完成風險評鑑作業
113 年 05 月 完成營運持續管理作業
113 年 06 月 完成各單位內部稽核作業
113 年 07 月 辦理第 2 次管理審查會議
113 年 09 月 辦理ISO 27001:2022 第三方驗證
上述各項建議宜作為本分署後續推行 ISMS 制度與遵循法令法規規範之重要事項之一,相信在分署內同仁與委外廠商的協力推動下,應該順利推動,落實各項管控措施,符合資通安全管理法之要求,並確保本分署核心業務的資安防護,保障區域的民生經濟發展。 |
計畫研究成果 |
本分署因應資通安全法規定,於 112 年度順利通過 ISMS 擴大驗證範圍之第三方定期追查作業,取得 TAF 核發之證書,確保 ISMS 驗證持續有效,並由專案團隊協助進行各項年度重要資安執行事項,包括現況訪視、資產盤點、風險評鑑、營運持續演練、人員教育訓練、工業控制系統(ICS)威脅偵測機制與資安演練等工作,可謂成果豐碩。 |
應用情形及效益 |
本計畫自 112 年 01 月執行至今,各項工作皆按既定之期程順利執行,計畫團隊執行過程中適時與本分署溝通協調,並依據相關回饋之意見調整執行細節,達成計畫相關目標。目前已於曾管中心與牡管中心建置可視化網路監控平台,蒐集工控主機設備狀態與系統日誌,透過可視化介面加強提供管理人員即時掌握各設備之資源與運轉狀態,進而確保系統持續營運。
本分署此次在牡丹水庫管理中心執行紅隊演練,透過紅隊演練形式驗證及檢視現有資訊安全管理及防護機制之有效性,提出持續改善及管理方式,強化本分署所轄水資源場域資訊基礎設施防禦能量。 |