資訊安全管理

資訊安全架構

中石化設立資訊安全長,為綜理資訊安全政策推動及資源調度相關事務,並在資訊處下設置資訊安全管理組及資安專責主管與資安專責人員2名,負責訂定公司資訊安全政策、規劃暨執行資訊安全作業程序與資安政策推動與落實。

 

每年由資訊安全長向公司董事會呈報當年度資安治理與執行情況,增進董事會對本公司資安現況之掌握。

 

公司稽核室每年依內部控制制度-資訊控制作業-電腦化資訊系統處理作業,進行資訊安全查核,評估公司資訊作業內部控制之有效性。

資訊安全政策及管理方案

為保護本公司所管理之資訊資產安全,免於因內部或外部蓄意或意外之各種威脅與破壞,導致業務資訊遭受竄改、揭露、破壞或遺失等風險,以維持本公司業務持續運作之資訊環境,並符合相關政府法規與內外部利害相關人之要求。

 

本公司於2023年針對資訊處提供之系統開發、操作及維護,網路基礎設施、機房及相關支援活動管理等,導入ISO 27001資訊安全管理系統,並於2024年2月獲得第三方驗證公司證書,效期至2027年2月。本公司遵循標準制定資訊安全規範,並有資訊內控制度推動資安治理,配合稽核單位排定年度資安稽核計畫,每年至少進行一次評估查核,以確保本公司業務相關資訊之機密性、完整性及可用性,且整體資訊安全防護能力足以符合營運需求,持續優化與改善資安管理政策。

資訊安全管理措施:

  • 定期辦理資訊安全教育訓練課程及資安宣導,宣達資訊安全政策、相關規定以及資安防護觀念,提升同仁資安意識。
  • 定期進行資安檢測作業並依據檢測結果進行修補,降低資安風險。
  • 建立資訊安全事件通報應變機制,確保資安事件妥善回應、控制及處理。
  • 定期進行重要核心系統營運持續演練,以確保備援方案之有效性。
  • 定期執行資訊安全查核作業及管理審查會議,以確保資訊安全管理制度落實執行,並持續改進。
  • 依相關法令規定執行各項應辦事項。
  • 此外,為提升公司資安整體防護,本公司亦加入TWCERT(台灣電腦網路危機處理暨協調中心)以及CISO(台灣資安主管聯盟)等資安聯防組織,取得及分享最新網路威脅情資。

 

資訊安全管理執行情形:

2024年資訊安全管理作業執行情形如下(截至2024年12月31日止):

  • 本年度資訊安全管理執行情形已於2024年11月董事會報告。
  • 新增及修訂資安規範及作業程序並進行資訊安全相關的會議次數如下:
項次 會議類型 與會人員 會議次數
1 ISMS政策檢視、審查相關會議 資訊/資安人員/主管/資安長 3
2 資安專案進度呈報及未來優化規劃討論 資訊/資安人員/主管/資安長 11

 

  • 更新總公司防火牆設備版本並重新檢視及調整規則設定,強化偵測及阻擋惡意威脅流量。
  • 強化公司SSLVPN服務,增加動態密碼(OTP)驗證機制,提供更安全的網路連線。
  • 完成重要服務系統營運持續演練作業,以驗證備援機制之有效性。
  • 執行弱點掃瞄及修補作業(系統弱點、病毒、安全性更新修正檔等)。
  • 辦理年度資安健診對公司資訊架構進行檢視並進行優化調整。
  • 辦理電子郵件社交工程演練,並對未合格同仁進行教育訓練。
  • 本年度進行資安宣導7則,辦理資訊安全教育訓練課程(含外訓)、受訓人員及時數如下表。
項次 受訓人員 課程總時數 訓練人數/訓練人次
1 一般通識人員 1.5小時 訓練人次1076人次
2 資訊/資安人員(含主管) 9小時 訓練人數15人
3 資安長/資安主管 21小時 訓練人數2人