【全面盘点国家级资安情报力：交通部打造T-ISAC】纳入高铁台铁风险评鉴结果，提供有效资安情资

在八大关键基础设施服务的提供者中，交通部管辖的陆、海、空运业者种类多元、数量庞大，要如何打造一套资讯资安分享与分析中心（T-ISAC），降低相关业者所面临的资安风险，是交通部的一大挑战。

交通部科技顾问室参事兼管理资讯中心主任王穆衡表示，在资通安全管理法颁布后，各种交通运输业者成为关键基础设施服务提供者之一，也让许多特定非公务机关开始意识到，要扮演好关键的关键基础设施服务业者之一，必须要时时提高警觉。他也以高铁公司为例，高速行驶的交通服务，原本就需要主动针对自然灾害和各种资讯情报做判断，以确保服务品质的稳定提供。

资讯资产盘点与风险评鉴是重要的资安情报分享

王穆衡也说，许多交通运输业者的系统，都是专属或封闭的交通运输的工控系统，要打造一个可以广纳各种国内外资安威胁情资的T-ISAC，同时，相关业者也必须真正落实各自的资讯资产盘点，以及风险评估。

交通部除了收集各种攻击手法、攻击标的、资安弱点、入侵攻击情报、历史事故，以及资讯系统与工业控制系统的国、内外资安威胁情资外，也纳入高铁和台铁等业者的资讯盘点，以及风险评估结果。

他说，借由这些情资分享，已经针对交通领域提供了超过60则以上的资安情资，同时，可以为其他交通领域的关键基础设施场域维护人员，提供更多有用资讯，以便做到必要的资安预防措施。

事实上，交通部在2017年提出T-ISAC专案，到2018年4月正式维运，过程中，除了T-ISAC外，还要求相关的运输服务业者做风险评鉴，以及资讯资产盘点，今年更加强平台的资安规划、资安检测及防护机制，最终希望可以为交通领域的资安资讯分享与资安联防，建立坚实的基础。

不过，这些来自于高铁、台铁提供的资讯资产盘点、风险评鉴资讯，相关业者虽然知道其重要性，当下也都有防护措施，但他也提醒，这类工控系统或封闭系统的风险被盘点出来后，就应该要回到各自组织内部去解决这个问题。

换言之，这些不论是人力、设备或者是SOP产生的风险议题，对于其他业者而言，都是可以参考的警讯，而像是客运业者提供给客户使用的App，多是经由委外开发而来的，如果业者可以事先提供相关的App委外开发的经验分享，也能够借此协助其他业者降低不必要的资安风险。

 相关报导  打造国家级资安情报力