元大金控 元大金控 元大金控

为持续精进信息安全治理制度，信息作业除符合国内外信息安全法令法规外，本公司及证券、银行、人寿、投信、期货均已导入ISO 27001：2022信息安全管理制度(ISMS)之标准，其后赓续由第三方外部独立单位进行每年续审及每三年重审，113年均已通过验证，证书持续有效并以PDCA(Plan-Do-Check-Act)之循环式品质管理架构持续强化信息安全之监控与管理。本公司证书之有效期为112年12月至115年12月。
(注：元大证券、元大银行、元大人寿、元大投信、元大期货资本额占本集团总资本额99.97%。)

配合金管会「金融资安行动方案」及增进营运持续管理量能，银行、人寿、证券与投信均已导入营运持续管理国际标准(ISO 22301)，其后赓续由第三方外部独立单位进行每年续审，113年均已通过验证，证书持续有效。以风险导向为基础，结合业务端与系统端之各项资源，确保在任何情况下能维持营运水准，降低营运中断风险，使组织具备更强的回复韧性。

提升网络与信息系统防护能力，创建多层次纵深防御架构，设置包括网络防火墙、软件应用程序防火墙、入侵侦测系统、垃圾邮件过滤、邮件APT、上网行为管理、杀毒系统、反钓鱼网站及伪冒APP监控机制、端点信息安全防护平台(EDR)、网络侦测与回应(NDR)等系统，以确保信息系统安全。

本公司暨主要子公司定期透过独立第三方定期运行弱点扫描、渗透测试、分布式阻断(DDoS)演练、社交工程演练及电脑系统信息安全评估等作业，以确保信息系统的稳定性、安全性及既有控制措施之完整性与有效性。

因应金融科技快速发展，信息安全已是组织重要的风险管理议题，为掌握新兴资安情资与资安趋势，本公司暨主要子公司透过加入金融资安信息分享与分析中心 (F-ISAC)及参与金融资安联防监控中心(F-SOC)跨域联防与资安事件分享，有效提升整体资安防御力。另导入信息安全事件管理平台 (Security Information and Event Management, SIEM) ，以确保信息安全防护监控之有效性。

为强化网络异常行为侦测告警之即时性及有效性，及配合金管会「金融资安行动方案」运行措施，本公司及旗下子公司已委由第三方专业机构建置资安监控机制(SOC)，透过 7x24 全时维运之即时监看，提供事前威胁的预警情报、事中威胁的即时告警以及事后威胁的分析建议，提升资安事件应变能力，达成资安监控联防与协同运作性能。亦透过建置信息安全管理监控仪表板，即时掌握电脑病毒、骇客入侵、数据外泄等资安风险指针之变化，以达集团资安监控联防之目标。

为实际评估纵深防御能力，及配合金管会「金融资安行动方案」运行措施，举办集团红蓝队攻防演练，委请专业第三方在不影响营运前提下，运用骇客攻击手法，采目标导向式资安演练，以验证资安防护、监控及防御之有效性，提升同仁面对新型态攻击之应处能力，并就演练发现之弱点进行修补或补偿性措施，另对其所提建议亦进行可行性评估与规划相应措施，期进一步强化公司资安防御，降低资安事件冲击。

重大资安事件往往非仅影响单一机构，为强化体系资安风险控管与资安联防，及配合金管会「金融资安行动方案」运行措施，委由专业第三方机构办理集团重大资安事件通报与应变演练，以提升集团间横向通报应变与支持协处之运作机制与能力。

本公司及旗下子公司均完成113年一般同仁3个小时信息安全教育训练，资安专责人员亦已完成15小时资安专业训练课程，以提升信息安全能力，另定期办理电子邮件社交工程演练，提升全体同仁资安意识。

对于内部数据进行分类(如机密、敏感、一般、公开)，并标示其等级，确保依据数据重要程度进行保护。机密性与敏感性数据进行加密保存与传输(如使用TLS/SSL、AES加密等)，创建数据外泄侦测防护(DLP)、入侵侦测与防护系统（IDS/IPS）等，以侦测与防止未经授权的入侵行为。另依据应用系统属性及重要，创建系统同地及异地备援作业，定期运行备援演练及压力测试并留存纪录，以确保备援进程之有效性。

对于访问控制与身分验证，采最小授权、正式授权、可识别、可覆核之原则，并依据职务、角色需求分配权限，避免未经授权访问，并定期查看用户权限与移除不必要权限。

对于网络之访问，将信息服务、用户及信息系统各群组使用的网络加以区隔。对于开放的网络以及穿越组织边界的网络，依访问控制政策与营运应用的要求，限制用户连接至网络的能力，以确保电脑连接与信息传输安全性。