元大金控
本公司订有「信息安全政策」由董事会核定,以为金控及子公司创建信息安全管理制度及订定相关信息安全管理规范、进程等之依据,确保公司重要信息机密性、完整性及可用性。另本公司信息安全政策以保护股东权益为基础,并以「保护信息资产安全」及「维持业务持续运作,以达企业永续经营」为目标。
为提升金控对资安议题之决策能量,强化资安监理,统筹资安政策推动协调与资源调度,本公司109年12月董事会通过组织规程,增设独立且专责之资安单位「信息安全部」及资安长(CISO),负责全公司信息安全治理、规划、督导及推动运行信息安全管理作业,并将资安办理运行情形定期提报董事会。
为持续对信息安全精进治理制度,所有信息作业除符合国内外信息安全法令法规外,金控、证券、银行及人寿均已分别导入ISO 27001信息安全管理制度(ISMS),并通过英国标准协会(BSI)之验证,其后赓续年度审查及每三年之重新审查,确保证书有效;另期货、投信亦于2020年12月导入ISO 27001信息安全管理制度(ISMS),并通过英国标准协会(BSI)之验证,以PDCA(Plan-Do-Check-Act)之循环式品质管理架构持续强化信息安全之监控与管理。
鉴于资安威胁日益升高,科技发展所带来的网络威胁与风险变化,及因应外部多变的攻击手法,信息安全管理除落实信息治理、法令遵循外,风险管控着重在资安防护,包括内部自我检核、外部主动侦测、灾害应变演练及管理强化。另本公司亦积极导入各项自动化侦测、行为监控等系统,不论外部威胁之即时监控、阻挡,或内部环境之数据访问、作业行为及设备区隔均加以管控,以绵密的分层隔离过滤机制防范不法或恶意行为。
除上述信息安全防护措施外,金控及子公司皆参与台湾金融资安情资分享中心(F-ISAC),利用相关资安防御系统集成威胁情资以达联防综效。各公司并透过第三方公信单位协助评估潜在风险,定期进行弱点扫描、渗透测试及依规应办理之各项电脑信息安全检测或评估作业。
再者,透过定期审视、更新信息安全管理规范以符合法规及最新资安要求标准。每年定期进行信息系统灾害备援演练,提升灾害处理应变能力,建构完善的治理制度与资安防护能力,确保信息系统的稳定性与资安管控的有效性。
- 信息安全落实国际标准:
- 金控、证券、银行及人寿均已分别通过ISO 27001信息安全管理制度(ISMS)之年度续审,并通过英国标准协会(BSI)之验证,确认证书有效性。元大金控目前证书之有效期为2020年12月至2023年12月。
- 期货、投信亦于2020年12月导入ISO 27001信息安全管理制度(ISMS),并通过英国标准协会(BSI)之验证。
- 信息安全防护与检测:透过独立第三方运行信息安全评估及相关检测,查看既有控制措施之有效性
- 信息安全教育训练:2020年金控及子公司均完成一般同仁3个小时信息安全教育训练、资安专责人员15小时资安专业训练课程,以提升信息安全能力,另每年不定期办理电子邮件社交工程演练,提升全体同仁资安意识。
- 本公司已于2020年12月28日增设独立且专责之资安单位「信息安全部」及资安长(CISO),负责全公司信息安全治理、规划、督导及推动运行信息安全管理作业,并每年定期向董事会报告信息安全办理情形。
- 信息安全办理情形报告已于2021年3月3日第八届第二十五次董事会报告在案。