中石化設立資訊安全長,為綜理資訊安全政策推動及資源調度相關事務,並在資訊處下設置資訊安全管理組及資安專責主管與資安專責人員2名,負責訂定公司資訊安全政策、規劃暨執行資訊安全作業程序與資安政策推動與落實。
每年由資訊安全長向公司董事會呈報當年度資安治理與執行情況,增進董事會對本公司資安現況之掌握。
公司稽核室每年依內部控制制度-資訊控制作業-電腦化資訊系統處理作業,進行資訊安全查核,評估公司資訊作業內部控制之有效性。
為保護本公司所管理之資訊資產安全,免於因內部或外部蓄意或意外之各種威脅與破壞,導致業務資訊遭受竄改、揭露、破壞或遺失等風險,以維持本公司業務持續運作之資訊環境,並符合相關政府法規與內外部利害相關人之要求。
本公司於2023年針對資訊處提供之系統開發、操作及維護,網路基礎設施、機房及相關支援活動管理等,導入ISO 27001資訊安全管理系統,並於2024年2月獲得第三方驗證公司證書,效期至2027年2月。本公司遵循標準制定資訊安全規範,並有資訊內控制度推動資安治理,配合稽核單位排定年度資安稽核計畫,每年至少進行一次評估查核,以確保本公司業務相關資訊之機密性、完整性及可用性,且整體資訊安全防護能力足以符合營運需求,持續優化與改善資安管理政策。
2024年資訊安全管理作業執行情形如下(截至2024年12月31日止):
項次 | 會議類型 | 與會人員 | 會議次數 |
1 | ISMS政策檢視、審查相關會議 | 資訊/資安人員/主管/資安長 | 3 |
2 | 資安專案進度呈報及未來優化規劃討論 | 資訊/資安人員/主管/資安長 | 11 |
項次 | 受訓人員 | 課程總時數 | 訓練人數/訓練人次 |
1 | 一般通識人員 | 1.5小時 | 訓練人次1076人次 |
2 | 資訊/資安人員(含主管) | 9小時 | 訓練人數15人 |
3 | 資安長/資安主管 | 21小時 | 訓練人數2人 |