元大金控元大金控 元大金控元大金控 元大金控元大金控

資訊安全 信息安全 Information Security
信息安全组织

本公司于100年导入ISO 27001信息安全管理制度(ISMS)标准,并通过英国标准协会(BSI)之认证,其后赓续年度审查及每三年之重审作业,以PDCA之循环架构持续强化信息安全之监控与管理。于此信息安全管理框架下设置常态之「信息安全小组」,统筹并查看信息安全政策、计划、资源调度、风险评鉴、危机处理等事项之协调与研议。

信息安全小组负责信息安全管理制度之落实并监督运作状况,定期召开信息安全会议及管理审查会议,就信息安全管理运行状况及信息安全相关事项进行研议,并将资安运行概况定期陈报董事会。

信息安全组织运作架构图:

信息安全管理架构

本公司信息安全政策以保护股东权益为基础,以「保护信息资产安全」及「维持业务持续运作,以达企业永续经营」为目标。信息安全管理架构则透过信息安全政策、信息安全管理要点等四阶管理规范文档之框架施行。

鉴于资安威胁日益升高,信息安全管理除落实信息治理、法令遵循外,风险管控着重在资安防护,包括内部自我检核、外部主动侦测、灾害应变演练及强化管理等。本公司已积极导入各项自动化侦测、行为检核、不法行为禁制等系统,不论外部威胁之即时监控、阻挡,或内部环境之数据访问、作业行为及设备区隔均加以管控,以绵密的分层隔离过滤机制防范不法或恶意行为。此外,除了不断提升整体信息安全架构,为加强企业保障,目前亦就相关资安险进行评估中。

资安防护-服务安全防护重点

内部自我检核
  • 网站渗透测试
  • 服务器弱点扫描
  • 杀毒机制 / 恶意程序扫描
  • 系统日志登录纪录
外部主动侦测
  • 二层式防火墙之防护机制
  • 入侵测试系统
  • DDoS分布式阻断攻击防护
  • DNS名称解析服务委外
  • 外部邮件APT侦测(恶意邮件侦测)
  • 应用程序防火墙
  • 伪冒钓鱼网站与恶意APP侦测与下架
灾害复原应变
  • 灾害复原计划
  • 信息系统、网络设备复原演练
  • DDoS防护进程演练
  • 骇客攻击应变演练
管理强化
    分析、发展、建置、持续
  • 营运冲击分析
  • 风险评鉴
  • ISMS信息安全内部查核

本公司及旗下子公司皆积极参与台湾金融资安情资分享中心F-ISAC,并利用相关资安防御系统集成威胁情资以达联防综效。主要子公司证券、银行及人寿均已分别导入ISO 27001信息安全管理制度(ISMS) 及BS 10012个人信息管理制度(PIMS)之标准并取得认证,强化信息安全与个资保护管理机制,期货、投信亦规划导入ISO 27001信息安全管理制度(ISMS)。各公司并透过第三方公信单位协助评估潜在风险,定期进行弱点扫描、渗透测试及依规应办理之各项信息安全检测或评估作业。再者,透过定期审视、更新信息安全管理规范以符合法规及最新资安要求标准,配合资安威胁攻击、备援演练及教育训练等,强化集团员工职能与危机意识,健全信息安全管理机制。

元大金控已创建个人数据保护制度并于各项业务落实运行,除订有「个人数据管理保护政策」、「个人数据管理办法」等内部规章并适时查看修正外,另设立跨部室之个人数据保护小组(下称个资保护小组)作为专责单位,负责推动、协调及督导元大金控各项个人数据保护相关事宜。

个资保护小组系由总经理指定副总经理级以上主管担任召集人及副召集人,及由各部室指派代表担任小组成员,并视业务运行情形召开会议讨论个资保护事宜。个资保护小组每年至少进行一次个人数据保护管理审查,审查结果并同年度法令遵循制度运行情形提报董事会。

就公司业务上面临之个人数据风险,元大金控每年至少办理一次风险评估,并依评估结果订定控管措施,评估结果及相关分析均提报个资保护小组会议。若发生个人数据安全或外泄事件,除由各部室依规定进程通报作业风险事件外,涉及信息面风险者,信息部将依信息安全风险相关规定办理,风险管理部对于发生个资安全事件之原因,将提供预防或改善建议。此外,个人数据保护亦列入公司内部审核查核项目及定期每年举办之教育训练课程,以提升员工对于个人数据保护之认知。

为提供客户就其个人数据行使法定权利之机制,并符合隐私保护,元大金控依据金融控股公司法、金融控股公司子公司间共同行销管理办法及相关法令,订定并于官网揭露「客户数据保密措施」,明示元大金控除该保密措施所定情形或经客户书面同意外,不会向第三人揭露客户个人数据;另亦于官网公告之「隐私权保护声明」,说明元大金控对客户个人数据之搜集政策、保存及保护措施、客户行使查找、修正及删除之权利等规范,并提供电子邮件信箱作为提出意见之管道,使客户清楚自身权益,并安心使用元大金控网站所提供之各项服务。