元大金控
本公司于100年导入ISO 27001信息安全管理制度(ISMS)标准,并通过英国标准协会(BSI)之认证,其后赓续年度审查及每三年之重审作业,以PDCA之循环架构持续强化信息安全之监控与管理。于此信息安全管理框架下设置常态之「信息安全小组」,统筹并查看信息安全政策、计划、资源调度、风险评鉴、危机处理等事项之协调与研议。
信息安全小组负责信息安全管理制度之落实并监督运作状况,定期召开信息安全会议及管理审查会议,就信息安全管理运行状况及信息安全相关事项进行研议,并将资安运行概况定期陈报董事会。
信息安全组织运作架构图:
本公司信息安全政策以保护股东权益为基础,以「保护信息资产安全」及「维持业务持续运作,以达企业永续经营」为目标。信息安全管理架构则透过信息安全政策、信息安全管理要点等四阶管理规范文档之框架施行。
鉴于资安威胁日益升高,信息安全管理除落实信息治理、法令遵循外,风险管控着重在资安防护,包括内部自我检核、外部主动侦测、灾害应变演练及强化管理等。本公司已积极导入各项自动化侦测、行为检核、不法行为禁制等系统,不论外部威胁之即时监控、阻挡,或内部环境之数据访问、作业行为及设备区隔均加以管控,以绵密的分层隔离过滤机制防范不法或恶意行为。此外,除了不断提升整体信息安全架构,为加强企业保障,目前亦就相关资安险进行评估中。
- 网站渗透测试
- 服务器弱点扫描
- 杀毒机制 / 恶意程序扫描
- 系统日志登录纪录
- 二层式防火墙之防护机制
- 入侵测试系统
- DDoS分布式阻断攻击防护
- DNS名称解析服务委外
- 外部邮件APT侦测(恶意邮件侦测)
- 应用程序防火墙
- 伪冒钓鱼网站与恶意APP侦测与下架
- 灾害复原计划
- 信息系统、网络设备复原演练
- DDoS防护进程演练
- 骇客攻击应变演练
-
分析、发展、建置、持续
- 营运冲击分析
- 风险评鉴
- ISMS信息安全内部查核
本公司及旗下子公司皆积极参与台湾金融资安情资分享中心F-ISAC,并利用相关资安防御系统集成威胁情资以达联防综效。主要子公司证券、银行及人寿均已分别导入ISO 27001信息安全管理制度(ISMS) 及BS 10012个人信息管理制度(PIMS)之标准并取得认证,强化信息安全与个资保护管理机制,期货、投信亦规划导入ISO 27001信息安全管理制度(ISMS)。各公司并透过第三方公信单位协助评估潜在风险,定期进行弱点扫描、渗透测试及依规应办理之各项信息安全检测或评估作业。再者,透过定期审视、更新信息安全管理规范以符合法规及最新资安要求标准,配合资安威胁攻击、备援演练及教育训练等,强化集团员工职能与危机意识,健全信息安全管理机制。