元大金控 元大金控 元大金控

为持续精进信息安全治理制度，信息作业除符合国内外信息安全法令法规外，本公司及证券、银行、人寿、投信、期货均已导入ISO 27001：2022信息安全管理制度(ISMS)之标准，其后赓续由第三方外部独立单位进行每年续审及每三年重审，114年均已通过验证，证书持续有效并以PDCA(Plan-Do-Check-Act)之循环式品质管理架构持续强化信息安全之监控与管理。本公司证书之有效期为112年12月至115年12月。
(注：元大证券、元大银行、元大人寿、元大投信、元大期货资本额占本集团总资本额99.97%。)

配合金管会「金融资安行动方案」及增进营运持续管理量能，银行、人寿、证券与投信均已导入营运持续管理国际标准（ISO 22301），其后由第三方专业机构进行每年审查，114年均已通过验证，证书持续有效。以风险导向为基础，结合业务端与系统端之各项资源，确保在任何情况下能维持营运水准，降低营运中断风险，使组织具备更强的回复韧性。

提升网络与信息系统防护能力，强化资安防护措施，创建多层次纵深防御架构，设置包括网络防火墙、软件应用程序防火墙、入侵侦测系统、垃圾邮件过滤、邮件APT、上网行为管理、杀毒系统、反钓鱼网站及伪冒APP监控机制、端点信息安全防护平台（EDR）、网络侦测与回应（NDR）等系统，以确保信息系统安全。

本公司暨主要子公司定期透过第三方专业机构定期运行弱点扫描、渗透测试、分布式阻断（DDoS）演练、入侵与攻击仿真（BAS）演练、外部网络风险评估、社交工程演练及电脑系统信息安全评估等作业，以确保信息系统的稳定性、安全性及既有控制措施之完整性与有效性。

持续导入新资安风险控管技术，以智能化、自动化机制提升各类资安事件只侦测及回应处理进程效率，并强化信息安全及网络安全保护流程。

1. 强化资安情资分享与应处
   为强化信息安全情资与联防，及掌握新兴资安情资与资安趋势，本公司暨主要子公司透过加入金融资安信息分享与分析中心（F-ISAC）及参与金融资安联防监控中心（F-SOC），另证券于已获准加入First 国际组织，即时掌握外部资安情资，跨域联防与资安事件分享。以更主动、更有效的面对不断演进的资安威胁，有效提升整体资安防御力。
2. 强化资安监控与分析
   为强化网络异常行为侦测告警之即时性及有效性，及配合金管会「金融资安行动方案」运行措施，本集团已委由第三方专业机构建置资安监控机制（SOC），透过 7x24 全时维运之即时监看，提供事前威胁的预警情报、事中威胁的即时告警以及事后威胁的分析建议，并串联资安防御设备、资安情资自动化、提升团队人员资安事件应变能力，达成资安监控联防与协同运作性能。
3. 集团大SOC三年集成计划-资安合署办公与云地评估
   为有效集成集团资安资源及监控量能，提升跨公司威胁侦测及联防效益，制定集团大SOC三年集成计划，规划集团资安合署办公、建置集团大资安监控中心（SOC），从单点防守到合署联防、共享情报与资源、基准对齐、集团协同合作、提升防护监控，统整集团资安应变体系、系统架构及人才资源。目前已完成第一阶段本公司及证券、银行、人寿、投信、期货资安合署办公、建置集团大资安监控中心（SOC）及云地评估，以深化资安治理，集成资源并提升跨公司威胁侦测及联防效益，提升集团资安防御量能及协同运作性能。

亦透过信息安全监控仪表板，即时监控集团信息资产设备、电脑病毒、骇客入侵、数据外泄等资安风险指针之变化，达成集团资安监控联防之目标。

为实际评估纵深防御能力，及配合金管会「金融资安行动方案」运行措施，举办集团红蓝队攻防演练，委请专业第三方在不影响营运前提下，运用骇客攻击手法，采目标导向式资安演练，以验证资安防护、监控及防御之有效性，提升同仁面对新型态攻击之应处能力，并就演练发现之弱点进行修补或补偿性措施，另对其所提建议亦进行可行性评估与规划相应措施，期进一步强化公司资安防御，降低资安事件冲击。

重大资安事件往往非仅影响单一机构，为强化体系资安风险控管与资安联防，及配合金管会「金融资安行动方案」运行措施，委由专业第三方机构办理集团重大资安事件通报与应变演练，以提升集团间横向通报应变与支持协处之运作机制与能力。

本公司及旗下子公司均完成114年一般同仁3个小时信息安全教育训练，课程内别包含近期重大信息安全事件分享、资安法规、个资保护、社交工程之攻击与防护、物联网设备安全、生成式人工智能之安全威胁、云端应应风险的防范措施等新兴科技课程，以提升全体同仁资安意识。

资安专责人员亦已完成15小时资安专业训练课程，课程包含资安趋势、资安法规、资安防护技术、资安控与维运、生成式AI的趋势与风险管理等新兴科技议题，提升资安专责人员资安专业职能与技能。