元大金控元大金控 元大金控元大金控 元大金控元大金控

資訊安全 信息安全 Information Security
信息安全管理架构与机制

本公司订有「信息安全政策」由董事会核定,以为金控及子公司创建信息安全管理制度及订定相关信息安全管理规范、进程等之依据,确保公司重要信息机密性、完整性及可用性。另本公司信息安全政策以保护股东权益为基础,并以「保护信息资产安全」及「维持业务持续运作,以达企业永续经营」为目标。

为提升金控对资安议题之决策能量,强化资安监理,统筹资安政策推动协调与资源调度,本公司109年12月董事会通过组织规程,增设独立且专责之资安单位「信息安全部」及资安长(CISO),负责全公司信息安全治理、规划、督导及推动运行信息安全管理作业,并将资安办理运行情形定期提报董事会。

信息安全与个资国际标准

为持续对信息安全精进治理制度,所有信息作业除符合国内外信息安全法令法规外,金控、证券、银行及人寿均已分别导入ISO 27001信息安全管理制度(ISMS),并通过英国标准协会(BSI)之验证,其后赓续年度审查及每三年之重新审查,确保证书有效;另期货、投信亦于2020年12月导入ISO 27001信息安全管理制度(ISMS),并通过英国标准协会(BSI)之验证,以PDCA(Plan-Do-Check-Act)之循环式品质管理架构持续强化信息安全之监控与管理。

信息安全防护与检测

鉴于资安威胁日益升高,科技发展所带来的网络威胁与风险变化,及因应外部多变的攻击手法,信息安全管理除落实信息治理、法令遵循外,风险管控着重在资安防护,包括内部自我检核、外部主动侦测、灾害应变演练及管理强化。另本公司亦积极导入各项自动化侦测、行为监控等系统,不论外部威胁之即时监控、阻挡,或内部环境之数据访问、作业行为及设备区隔均加以管控,以绵密的分层隔离过滤机制防范不法或恶意行为。

资安防护-服务安全防护重点
信息安全持续营运

除上述信息安全防护措施外,金控及子公司皆参与台湾金融资安情资分享中心(F-ISAC),利用相关资安防御系统集成威胁情资以达联防综效。各公司并透过第三方公信单位协助评估潜在风险,定期进行弱点扫描、渗透测试及依规应办理之各项电脑信息安全检测或评估作业。

再者,透过定期审视、更新信息安全管理规范以符合法规及最新资安要求标准。每年定期进行信息系统灾害备援演练,提升灾害处理应变能力,建构完善的治理制度与资安防护能力,确保信息系统的稳定性与资安管控的有效性。

2020年信息安全重要业务整体运行概况
  1. 信息安全落实国际标准:
    • 金控、证券、银行及人寿均已分别通过ISO 27001信息安全管理制度(ISMS)之年度续审,并通过英国标准协会(BSI)之验证,确认证书有效性。元大金控目前证书之有效期为2020年12月至2023年12月。
    • 期货、投信亦于2020年12月导入ISO 27001信息安全管理制度(ISMS),并通过英国标准协会(BSI)之验证。
  2. 信息安全防护与检测:透过独立第三方运行信息安全评估及相关检测,查看既有控制措施之有效性
  3. 信息安全教育训练:2020年金控及子公司均完成一般同仁3个小时信息安全教育训练、资安专责人员15小时资安专业训练课程,以提升信息安全能力,另每年不定期办理电子邮件社交工程演练,提升全体同仁资安意识。
  4. 本公司已于2020年12月28日增设独立且专责之资安单位「信息安全部」及资安长(CISO),负责全公司信息安全治理、规划、督导及推动运行信息安全管理作业,并每年定期向董事会报告信息安全办理情形。
  5. 信息安全办理情形报告已于2021年3月3日第八届第二十五次董事会报告在案。

元大金控已创建个人数据保护制度并于各项业务落实运行,除订有「个人数据管理保护政策」、「个人数据管理办法」等内部规章并适时查看修正外,另设立跨部室之个人数据保护小组(下称个资保护小组)作为专责单位,负责推动、协调及督导元大金控各项个人数据保护相关事宜。

个资保护小组系由总经理指定副总经理级以上主管担任召集人及副召集人,及由各部室指派代表担任小组成员,并视业务运行情形召开会议讨论个资保护事宜。个资保护小组每年至少进行一次个人数据保护管理审查,审查结果并同年度法令遵循制度运行情形提报董事会。

就公司业务上面临之个人数据风险,元大金控每年至少办理一次风险评估,并依评估结果订定控管措施,评估结果及相关分析均提报个资保护小组会议。若发生个人数据安全或外泄事件,除由各部室依规定进程通报作业风险事件外,涉及信息面风险者,信息部将依信息安全风险相关规定办理,风险管理部对于发生个资安全事件之原因,将提供预防或改善建议。此外,个人数据保护亦列入公司内部审核查核项目及定期每年举办之教育训练课程,以提升员工对于个人数据保护之认知。

为提供客户就其个人数据行使法定权利之机制,并符合隐私保护,元大金控依据金融控股公司法、金融控股公司子公司间共同行销管理办法及相关法令,订定并于官网揭露「客户数据保密措施」,明示元大金控除该保密措施所定情形或经客户书面同意外,不会向第三人揭露客户个人数据;另亦于官网公告之「隐私权保护声明」,说明元大金控对客户个人数据之搜集政策、保存及保护措施、客户行使查找、修正及删除之权利等规范,并提供电子邮件信箱作为提出意见之管道,使客户清楚自身权益,并安心使用元大金控网站所提供之各项服务。