元大金控
本公司订有「信息安全政策」由董事会核定,以为本公司及子公司创建信息安全管理制度及订定相关信息安全管理规范、进程等之依据,确保公司重要信息机密性、完整性及可用性。另本公司信息安全政策以保护股东权益为基础,并以「保护信息资产安全」及「维持业务持续运作,以达企业永续经营」为目标。
为提升本公司对资安议题之决策能量,强化资安监理,统筹资安政策推动协调与资源调度,本公司109年12月董事会通过组织规程,增设独立且专责之资安单位「信息安全部」及资安长(CISO),负责全公司信息安全治理、规划、督导及推动运行信息安全管理作业,并将资安办理运行情形定期提报董事会。
另为符合金融资安行动方案,证券、银行、投信及期货亦分别于110年11月及12月设置信息安全长,以督导及推动运行信息安全管理作业,并每年定期向董事会报告信息安全办理情形。亦成立信息安全权责单位,负责规划、监督及运行信息安全管理作业,每年度将信息安全整体运行情形提报其董事会,强化资安监理。
为统筹信息安全事项之管理,本公司设置跨部门之「信息安全小组」,由总经理指派召集人及副召集人,定期召开信息安全会议及管理审查会议,就信息安全管理运行情形及信息安全相关事项进行研议,以提升整体资安防护能量。
为持续对信息安全精进治理制度,信息作业除符合国内外信息安全法令法规外,本公司及证券、银行、人寿、投信、期货均已分别导入ISO 27001信息安全管理制度(ISMS),并通过英国标准协会(BSI)之验证,其后赓续年度审查及每三年之重新审查,确保证书有效,并以PDCA(Plan-Do-Check-Act)之循环式品质管理架构持续强化信息安全之监控与管理,落实国际标准。
鉴于资安威胁日益升高,科技发展所带来的网络威胁与风险变化,及因应外部多变的攻击手法,信息安全管理除落实信息治理、法令遵循外,风险管控着重在资安防护,包括内部自我检核、外部主动侦测、灾害应变演练及管理强化。另本公司亦积极导入各项自动化侦测、行为监控等系统,不论外部威胁之即时监控、阻挡,或内部环境之数据访问、作业行为及设备区隔均加以管控,以绵密的分层隔离过滤机制防范不法或恶意行为。
除上述信息安全防护措施外,本公司及主要子公司均指派专人处理金融资安信息分享与分析中心 (Financial Information Sharing and Analysis Center, F-ISAC) 及外部资安情资信息,依其建议或评估结果更新系统配置与设置,并将其处理状况定期陈报,以即时掌握新兴资安情资并拟定因应措施,利用相关资安防御系统集成威胁情资以达联防综效。
因应上述定期分析信息安全事件之机制,为强化分析能力,银行与证券已导入信息安全事件管理平台 (Security Information and Event Management, SIEM),透过平台侦测内部异常使用行为及外部攻击等信息安全事件,若发现潜在风险威胁信息安全,则依其异常事件进行分析处理,以达快速侦测与回应攻击之防御能量与应变能力。另本公司及人寿、投信、期货子公司亦已规划导入中,以确保信息安全防护监控之有效性。
本公司及主要子公司均明定信息安全事件的通报与处理进程,依其事件等级进行对应层级之通报与处理。信息单位需于目标处理时间内排除及解决该事件,并于事件处理完毕后进行分析,以预防事件重复发生。
- 信息安全落实国际标准:
本公司及证券、银行、人寿、期货、投信均已分别通过ISO 27001信息安全管理制度(ISMS)之年度续审,并通过英国标准协会(BSI)之验证,确认证书有效性。本公司目前证书之有效期为109年12月至112年12月。 - 信息安全防护与检测:
透过独立第三方运行信息安全评估及相关检测,查看既有控制措施之有效性。 - 信息安全教育训练:
本公司及主要子公司均完成110年一般同仁3个小时信息安全教育训练、资安专责人员15小时资安专业训练课程,以提升信息安全能力,另每年不定期办理电子邮件社交工程演练,提升全体同仁资安意识。 - 本公司信息安全办理情形报告已于111年3月15日第八届第三十九次董事会报告在案。