https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

台灣中油:以自身經驗為基礎 協助A、B級單位建置ISMS

2011 / 10 / 19
廖珮君
台灣中油:以自身經驗為基礎  協助A、B級單位建置ISMS

台灣中油屬於國營事業,旗下所屬AB級單位共有19個,依照國家資通安全會報規定,必須陸續取得ISO 27001認證,總公司資訊處身為資訊管理制度的源頭,自當作為其他單位的表率,在2005年率先建立資訊安全管理系統,並以自身經驗輔導旗下單位取得認證。

 

 

資安工作重點

 

台灣中油負責全國油氣供應,為重要民生基礎建設,作業中斷時將會對國家安全造成重大影響,因此,資安工作重點就是確保系統的正常運作,除了配合國家資通安全政策建置資訊安全管理制度,更建立集中管控制度,有效管控資安風險。

 

 

資安管理制度

 

台灣中油在2005年以自學式取得ISO 27001證書,之後再以自身經驗輔導旗下19AB級單位通過認證,同時將ISMS作業文件體系電子化、系統化及線上簽檢,落實資通安全政策。

 

ISMS作業電子化:歷經各單位資安人員的分析研討後,自行開發全公司適用之ISMS作業系統,使全公司資訊表單統一化,包括:風險評鑑管理系統、ISMS四階文件管理系統、資安稽核管理系統、資訊服務管理系統、及安全管制清查作業系統。

 

資安稽核:每年由資安稽核服務團隊(含政風人員)辦理資安稽核,及檢核室負責辦理年度內部稽核,受查單位利用資安稽核系統自我評量、提報受查軌跡電子檔及預防矯正,資安稽核報告送檢核室備查,內部稽核報告則須提報至董事會。

 

 

資安技術

 

集中管控全省員工的電腦,以便控制資安風險,並透過備援機制維持系統可用性。

 

集中管控中油營業據點分佈全省各地,員工使用的電腦超過1萬多台,為確保公司資安政策可以快速、有效地部署至各個伺服器與個人電腦,乃建立「集中管控」機制,將全公司網域整合為單一網域,統一部署帳號密碼管控、權限管控、螢幕淨空、軟體資產、安全程式修正更新、病毒碼更新、定時全面掃毒作業、USB PORT使用管理等資安政策,降低電腦的安全性風險。

 

主機備援讓不同地點、不同事業部的主機互為備援,如:台北總公司與高雄煉製事業部主機異地備援,提高主機系統之可用性。

 

網路備援改善網路傳輸設備,建立遠端備援機制及監控機制,讓通訊服務可用率達99.7%

 

 

中油的資安工作不單單只是IT系統而已,對於重要的關鍵基礎建設,也設有嚴謹的安全防護機制,像是實體防護分為二層管制人員進出、廠區控制網路與資訊網路採實體隔離、全面禁用可攜式的儲存媒體、SCADA伺服器採雙電腦互為備援,目的就是要維持作業不中斷,以免對國家安全造成衝擊。

 

台灣中油總經理林茂文維持作業不中斷,避免影響國家安全,是最重要的資安目標。

 

1.      資安團隊:2名專職人員

2.      服務範圍:約14,857位使用者、846台伺服器主機、10,649台電腦

3.      資安驗證:2005年取得ISO 27001驗證,驗證範圍:總公司資訊處、基隆石門供油中心油庫自動灌裝系統、內湖監控中心天然氣輸氣系統。

4.      主要特色:

(1)   總公司資訊處取得ISO 27001驗證後,協助中油所屬共19AB級單位通過ISMS驗證。

(2)   建立集中管控機制,將公司網域整合成單一網域,統一部署企業資安政策。

(3)   建置遠端備援網路,通訊服務可用率達99.7%

(4)   北高主機相互備援,節省軟體購置費100萬及每年維護費150萬。

(5)   全公司ISMS作業文件電子化、無紙化及線上簽核,落實資通安全。