台灣中油屬於國營事業,旗下所屬A、B級單位共有19個,依照國家資通安全會報規定,必須陸續取得ISO 27001認證,總公司資訊處身為資訊管理制度的源頭,自當作為其他單位的表率,在2005年率先建立資訊安全管理系統,並以自身經驗輔導旗下單位取得認證。
資安工作重點
台灣中油負責全國油氣供應,為重要民生基礎建設,作業中斷時將會對國家安全造成重大影響,因此,資安工作重點就是確保系統的正常運作,除了配合國家資通安全政策建置資訊安全管理制度,更建立集中管控制度,有效管控資安風險。
資安管理制度
台灣中油在2005年以自學式取得ISO 27001證書,之後再以自身經驗輔導旗下19個A、B級單位通過認證,同時將ISMS作業文件體系電子化、系統化及線上簽檢,落實資通安全政策。
ISMS作業電子化:歷經各單位資安人員的分析研討後,自行開發全公司適用之ISMS作業系統,使全公司資訊表單統一化,包括:風險評鑑管理系統、ISMS四階文件管理系統、資安稽核管理系統、資訊服務管理系統、及安全管制清查作業系統。
資安稽核:每年由資安稽核服務團隊(含政風人員)辦理資安稽核,及檢核室負責辦理年度內部稽核,受查單位利用資安稽核系統自我評量、提報受查軌跡電子檔及預防矯正,資安稽核報告送檢核室備查,內部稽核報告則須提報至董事會。
資安技術
集中管控全省員工的電腦,以便控制資安風險,並透過備援機制維持系統可用性。
集中管控:中油營業據點分佈全省各地,員工使用的電腦超過1萬多台,為確保公司資安政策可以快速、有效地部署至各個伺服器與個人電腦,乃建立「集中管控」機制,將全公司網域整合為單一網域,統一部署帳號密碼管控、權限管控、螢幕淨空、軟體資產、安全程式修正更新、病毒碼更新、定時全面掃毒作業、USB PORT使用管理等資安政策,降低電腦的安全性風險。
主機備援:讓不同地點、不同事業部的主機互為備援,如:台北總公司與高雄煉製事業部主機異地備援,提高主機系統之可用性。
網路備援:改善網路傳輸設備,建立遠端備援機制及監控機制,讓通訊服務可用率達99.7%。
中油的資安工作不單單只是IT系統而已,對於重要的關鍵基礎建設,也設有嚴謹的安全防護機制,像是實體防護分為二層管制人員進出、廠區控制網路與資訊網路採實體隔離、全面禁用可攜式的儲存媒體、SCADA伺服器採雙電腦互為備援,目的就是要維持作業不中斷,以免對國家安全造成衝擊。
台灣中油總經理林茂文,維持作業不中斷,避免影響國家安全,是最重要的資安目標。
1. 資安團隊:2名專職人員
|
2. 服務範圍:約14,857位使用者、846台伺服器主機、10,649台電腦
|
3. 資安驗證:2005年取得ISO 27001驗證,驗證範圍:總公司資訊處、基隆石門供油中心油庫自動灌裝系統、內湖監控中心天然氣輸氣系統。 |
4. 主要特色:
(1) 總公司資訊處取得ISO 27001驗證後,協助中油所屬共19個A、B級單位通過ISMS驗證。
(2) 建立集中管控機制,將公司網域整合成單一網域,統一部署企業資安政策。
(3) 建置遠端備援網路,通訊服務可用率達99.7%。
(4) 北高主機相互備援,節省軟體購置費100萬及每年維護費150萬。
(5) 全公司ISMS作業文件電子化、無紙化及線上簽核,落實資通安全。
|