元大金控元大金控 元大金控元大金控 元大金控元大金控

資訊安全 信息安全 Information Security
一、信息安全管理机制

本公司订有「信息安全政策」由董事会核定,以为本公司及子公司创建信息安全管理制度及订定相关信息安全管理规范、进程等之依据,确保公司重要信息机密性、完整性及可用性。另本公司信息安全政策以保护股东权益为基础,并以「保护信息资产安全」及「维持业务持续运作,以达企业永续经营」为目标。

为提升本公司对资安议题之决策能量,强化资安监理,统筹资安政策推动协调与资源调度,本公司109年12月董事会通过组织规程,增设独立且专责之资安单位「信息安全部」及资安长(CISO),负责全公司信息安全治理、规划、督导及推动运行信息安全管理作业,并将资安办理运行情形定期提报董事会。

另为符合金融资安行动方案,证券、银行、投信及期货亦分别于110年11月及12月设置信息安全长,以督导及推动运行信息安全管理作业,并每年定期向董事会报告信息安全办理情形。亦成立信息安全权责单位,负责规划、监督及运行信息安全管理作业,每年度将信息安全整体运行情形提报其董事会,强化资安监理。

二、信息安全组织运作架构

为统筹信息安全事项之管理,本公司设置跨部门之「信息安全小组」,由总经理指派召集人及副召集人,定期召开信息安全会议及管理审查会议,就信息安全管理运行情形及信息安全相关事项进行研议,以提升整体资安防护能量。

三、导入国际资安管理标准及取得相关验证

为持续对信息安全精进治理制度,信息作业除符合国内外信息安全法令法规外,本公司及证券、银行、人寿、投信、期货均已分别导入ISO 27001信息安全管理制度(ISMS),并通过英国标准协会(BSI)之验证,其后赓续年度审查及每三年之重新审查,确保证书有效,并以PDCA(Plan-Do-Check-Act)之循环式品质管理架构持续强化信息安全之监控与管理,落实国际标准。

四、信息安全防护与检测

鉴于资安威胁日益升高,科技发展所带来的网络威胁与风险变化,及因应外部多变的攻击手法,信息安全管理除落实信息治理、法令遵循外,风险管控着重在资安防护,包括内部自我检核、外部主动侦测、灾害应变演练及管理强化。另本公司亦积极导入各项自动化侦测、行为监控等系统,不论外部威胁之即时监控、阻挡,或内部环境之数据访问、作业行为及设备区隔均加以管控,以绵密的分层隔离过滤机制防范不法或恶意行为。

五、信息安全情资与联防机制

除上述信息安全防护措施外,本公司及主要子公司均指派专人处理金融资安信息分享与分析中心 (Financial Information Sharing and Analysis Center, F-ISAC) 及外部资安情资信息,依其建议或评估结果更新系统配置与设置,并将其处理状况定期陈报,以即时掌握新兴资安情资并拟定因应措施,利用相关资安防御系统集成威胁情资以达联防综效。

因应上述定期分析信息安全事件之机制,为强化分析能力,银行与证券已导入信息安全事件管理平台 (Security Information and Event Management, SIEM),透过平台侦测内部异常使用行为及外部攻击等信息安全事件,若发现潜在风险威胁信息安全,则依其异常事件进行分析处理,以达快速侦测与回应攻击之防御能量与应变能力。另本公司及人寿、投信、期货子公司亦已规划导入中,以确保信息安全防护监控之有效性。

六、信息安全事件之管理

本公司及主要子公司均明定信息安全事件的通报与处理进程,依其事件等级进行对应层级之通报与处理。信息单位需于目标处理时间内排除及解决该事件,并于事件处理完毕后进行分析,以预防事件重复发生。

七、110年信息安全重要业务整体运行概况:

  1. 信息安全落实国际标准:
    本公司及证券、银行、人寿、期货、投信均已分别通过ISO 27001信息安全管理制度(ISMS)之年度续审,并通过英国标准协会(BSI)之验证,确认证书有效性。本公司目前证书之有效期为109年12月至112年12月。
  2. 信息安全防护与检测:
    透过独立第三方运行信息安全评估及相关检测,查看既有控制措施之有效性。
  3. 信息安全教育训练:
    本公司及主要子公司均完成110年一般同仁3个小时信息安全教育训练、资安专责人员15小时资安专业训练课程,以提升信息安全能力,另每年不定期办理电子邮件社交工程演练,提升全体同仁资安意识。
  4. 本公司信息安全办理情形报告已于111年3月15日第八届第三十九次董事会报告在案。


元大金控已创建个人数据保护制度并于各项业务落实运行,除订有「个人数据管理保护政策」、「个人数据管理办法」等内部规章并适时查看修正外,另设立跨部室之个人数据保护小组(下称个资保护小组)作为专责单位,负责推动、协调及督导元大金控各项个人数据保护相关事宜。

个资保护小组系由总经理指定副总经理级以上主管担任召集人及副召集人,及由各部室指派代表担任小组成员,并视业务运行情形召开会议讨论个资保护事宜。个资保护小组每年至少进行一次个人数据保护管理审查,审查结果并同年度法令遵循制度运行情形提报董事会。

就公司业务上面临之个人数据风险,元大金控每年至少办理一次风险评估,并依评估结果订定控管措施,评估结果及相关分析均提报个资保护小组会议。若发生个人数据安全或外泄事件,除由各部室依规定进程通报作业风险事件外,涉及信息面风险者,信息部将依信息安全风险相关规定办理,风险管理部对于发生个资安全事件之原因,将提供预防或改善建议。此外,个人数据保护亦列入公司内部审核查核项目及定期每年举办之教育训练课程,以提升员工对于个人数据保护之认知。

为提供客户就其个人数据行使法定权利之机制,并符合隐私保护,元大金控依据金融控股公司法、金融控股公司子公司间共同行销管理办法及相关法令,订定并于官网揭露「客户数据保密措施」,明示元大金控除该保密措施所定情形或经客户书面同意外,不会向第三人揭露客户个人数据;另亦于官网公告之「隐私权保护声明」,说明元大金控对客户个人数据之搜集政策、保存及保护措施、客户行使查找、修正及删除之权利等规范,并提供电子邮件信箱作为提出意见之管道,使客户清楚自身权益,并安心使用元大金控网站所提供之各项服务。