元大金控元大金控 元大金控元大金控 元大金控元大金控

資訊安全 信息安全 Information Security
一、资通安全风险管理架构与机制

董事会为本公司信息安全管理之最高决策单位,本公司订有「信息安全政策」由董事会核定,以为本公司及子公司创建信息安全管理制度及订定相关信息安全管理规范、进程等之依据。另本公司信息安全政策以保护股东权益为基础,并以「保护信息资产安全」及「维持业务持续运作,以达企业永续经营」为目标。

为提升本公司对资安议题之决策能量,本公司暨主要子公司已设置资安长,统筹资安政策推动协调与资源调度,亦成立信息安全专责或权责单位,负责信息安全规划、监控及运行信息安全管理作业,并每年于董事会报告前一年度资安整体运行情形,以强化资安监理。本公司信息安全专责单位配置11名资安专业人员,另信息安全办理情形报告已于113年1月31日第九届第二十三次董事会报告在案。

为统筹信息安全事项之管理,本公司设置跨部门之「信息安全小组」,由总经理指派召集人及副召集人,定期召开信息安全小组会议及管理审查会议,112年共召开6次会议,就信息安全管理运行情形及信息安全相关事项进行研议,以提升整体资安防护能量。

二、具体管理方案与投入资源
  1. 导入国际资安管理标准及取得验证
  2. 为持续精进信息安全治理制度,信息作业除符合国内外信息安全法令法规外,本公司及证券、银行、人寿、投信、期货均已导入ISO 27001:2013信息安全管理制度(ISMS)之标准,其后赓续办理每年续审及每三年重审,112年均已通过验证,证书持续有效并以PDCA(Plan-Do-Check-Act)之循环式品质管理架构持续强化信息安全之监控与管理。另配合国际标准组织(ISO)于111年10月25日正式发布新版标准ISO 27001:2022,本公司亦已于112年11月通过英国标准协会(BSI)新版验证,证书之有效期为112年12月至115年12月。

    配合金管会「金融资安行动方案」及增进营运持续管理量能,银行、人寿、证券与投信均已导入营运持续管理国际标准(ISO 22301),其后赓续办理每年续审,112年均已通过验证,证书持续有效。以风险导向为基础,结合业务端与系统端之各项资源,确保在任何情况下能维持营运水准,降低营运中断风险,使组织具备更强的回复韧性。

  3. 信息安全防护机制与检测
  4. 提升网络与信息系统防护能力,创建多层次纵深防御架构,设置包括网络防火墙、软件应用程序防火墙、入侵侦测系统、垃圾邮件过滤、邮件APT、上网行为管理、杀毒系统、反钓鱼网站及伪冒APP监控机制、端点防护机制(EDR)等系统,以确保信息系统安全。

    本公司暨主要子公司定期透过独立第三方定期运行弱点扫描、渗透测试、分布式阻断(DDoS)演练、社交工程演练及电脑系统信息安全评估等作业,以确保信息系统的稳定性、安全性及既有控制措施之完整性与有效性。

  5. 信息安全防护检测监控
  6. 因应金融科技快速发展,信息安全已是组织重要的风险管理议题,为掌握新兴资安情资与资安趋势,本公司暨主要子公司透过加入金融资安信息分享与分析中心 (F-ISAC)及参与金融资安联防监控中心(F-SOC)跨域联防与资安事件分享,及早因应风险威胁,有效提升整体资安防御力。另亦已导入信息安全事件管理平台 (Security Information and Event Management, SIEM) ,以确保信息安全防护监控之有效性。

    为强化网络异常行为侦测告警之即时性及有效性,及配合金管会「金融资安行动方案」运行措施,本公司及旗下子公司已委由第三方专业机构建置资安监控机制(SOC),透过 7x24 全时维运之即时监看,提供事前威胁的预警情报、事中威胁的即时告警以及事后威胁的分析建议,提升资安事件应变能力,达成资安监控联防与协同运作性能。

  7. 信息安全教育训练
  8. 本公司及旗下子公司均完成112年一般同仁3个小时信息安全教育训练,资安专责人员亦已完成15小时资安专业训练课程,以提升信息安全能力,另定期办理电子邮件社交工程演练,提升全体同仁资安意识。

三、重大资通安全事件管理

本公司暨主要子公司均明定信息安全事件通报与处理进程,依其事件等级进行对应层级之通报与处理。信息单位需于目标处理时间内排除及解决该事件,并于事件处理完毕后进行分析,以预防事件重复发生。

重大资通安全事件应变处理具高度时效性要求,本公司设立「电脑资安事件应变小组」,由本公司总经理担任召集人,以即时掌握及支持本公司暨子公司重大资安事件之应变处理,降低事件损害。

最近年度及截至年报刊印日止,未发生造成客户权益受损或影响机构健全营运之重大资通安全事件。

元大金控已创建个人数据保护制度并于各项业务落实运行,除订有「个人数据管理保护政策」、「个人数据管理办法」等内部规章并适时查看修正外,另设立跨部室之个人数据保护小组(下称个资保护小组)作为专责单位,负责推动、协调及督导元大金控各项个人数据保护相关事宜。

个资保护小组系由总经理指定副总经理级以上主管担任召集人及副召集人,及由各部室指派代表担任小组成员,并视业务运行情形召开会议讨论个资保护事宜。个资保护小组每年至少进行一次个人数据保护管理审查,审查结果并同年度法令遵循制度运行情形提报董事会。

就公司业务上面临之个人数据风险,元大金控每年至少办理一次风险评估,并依评估结果订定控管措施,评估结果及相关分析均提报个资保护小组会议。若发生个人数据安全或外泄事件,除由各部室依规定进程通报作业风险事件外,涉及信息面风险者,信息部将依信息安全风险相关规定办理,风险管理部对于发生个资安全事件之原因,将提供预防或改善建议。此外,个人数据保护亦列入公司内部审核查核项目及定期每年举办之教育训练课程,以提升员工对于个人数据保护之认知。

为提供客户就其个人数据行使法定权利之机制,并符合隐私保护,元大金控依据金融控股公司法、金融控股公司子公司间共同行销管理办法及相关法令,订定并于官网揭露「客户数据保密措施」,明示元大金控除该保密措施所定情形或经客户书面同意外,不会向第三人揭露客户个人数据;另亦于官网公告之「隐私权保护声明」,说明元大金控对客户个人数据之搜集政策、保存及保护措施、客户行使查找、修正及删除之权利等规范,并提供电子邮件信箱作为提出意见之管道,使客户清楚自身权益,并安心使用元大金控网站所提供之各项服务。