元大金控元大金控 元大金控元大金控 元大金控元大金控

資訊安全 信息安全 Information Security
資訊安全組織

本公司於100年導入ISO 27001資訊安全管理制度(ISMS)標準,並通過英國標準協會(BSI)之認證,其後賡續年度審查及每三年之重審作業,以PDCA之循環架構持續強化資訊安全之監控與管理。於此資訊安全管理框架下設置常態之「資訊安全小組」,統籌並檢視資訊安全政策、計畫、資源調度、風險評鑑、危機處理等事項之協調與研議。

資訊安全小組負責資訊安全管理制度之落實並監督運作狀況,定期召開資訊安全會議及管理審查會議,就資訊安全管理執行狀況及資訊安全相關事項進行研議,並將資安執行概況定期陳報董事會。

資訊安全組織運作架構圖:

資訊安全管理架構

本公司資訊安全政策以保護股東權益為基礎,以「保護資訊資產安全」及「維持業務持續運作,以達企業永續經營」為目標。資訊安全管理架構則透過資訊安全政策、資訊安全管理要點等四階管理規範文件之框架施行。

鑒於資安威脅日益升高,資訊安全管理除落實資訊治理、法令遵循外,風險管控著重在資安防護,包括內部自我檢核、外部主動偵測、災害應變演練及強化管理等。本公司已積極導入各項自動化偵測、行為檢核、不法行為禁制等系統,不論外部威脅之即時監控、阻擋,或內部環境之資料存取、作業行為及設備區隔均加以管控,以綿密的分層隔離過濾機制防範不法或惡意行為。此外,除了不斷提升整體資訊安全架構,為加強企業保障,目前亦就相關資安險進行評估中。

資安防護-服務安全防護重點

內部自我檢核
  • 網站滲透測試
  • 伺服器弱點掃描
  • 防毒機制 / 惡意程式掃描
  • 系統日誌登入紀錄
外部主動偵測
  • 二層式防火牆之防護機制
  • 入侵測試系統
  • DDoS分散式阻斷攻擊防護
  • DNS名稱解析服務委外
  • 外部郵件APT偵測(惡意郵件偵測)
  • 應用程式防火牆
  • 偽冒釣魚網站與惡意APP偵測與下架
災害復原應變
  • 災害復原計畫
  • 資訊系統、網路設備復原演練
  • DDoS防護程序演練
  • 駭客攻擊應變演練
管理強化
    分析、發展、建置、持續
  • 營運衝擊分析
  • 風險評鑑
  • ISMS資訊安全內部查核

本公司及旗下子公司皆積極參與臺灣金融資安情資分享中心F-ISAC,並利用相關資安防禦系統整合威脅情資以達聯防綜效。主要子公司證券、銀行及人壽均已分別導入ISO 27001資訊安全管理制度(ISMS) 及BS 10012個人資訊管理制度(PIMS)之標準並取得認證,強化資訊安全與個資保護管理機制,期貨、投信亦規劃導入ISO 27001資訊安全管理制度(ISMS)。各公司並透過第三方公信單位協助評估潛在風險,定期進行弱點掃描、滲透測試及依規應辦理之各項資訊安全檢測或評估作業。再者,透過定期審視、更新資訊安全管理規範以符合法規及最新資安要求標準,配合資安威脅攻擊、備援演練及教育訓練等,強化集團員工職能與危機意識,健全資訊安全管理機制。

元大金控已建立個人資料保護制度並於各項業務落實執行,除訂有「個人資料管理保護政策」、「個人資料管理辦法」等內部規章並適時檢視修正外,另設立跨部室之個人資料保護小組(下稱個資保護小組)作為專責單位,負責推動、協調及督導元大金控各項個人資料保護相關事宜。

個資保護小組係由總經理指定副總經理級以上主管擔任召集人及副召集人,及由各部室指派代表擔任小組成員,並視業務執行情形召開會議討論個資保護事宜。個資保護小組每年至少進行一次個人資料保護管理審查,審查結果併同年度法令遵循制度執行情形提報董事會。

就公司業務上面臨之個人資料風險,元大金控每年至少辦理一次風險評估,並依評估結果訂定控管措施,評估結果及相關分析均提報個資保護小組會議。若發生個人資料安全或外洩事件,除由各部室依規定程序通報作業風險事件外,涉及資訊面風險者,資訊部將依資訊安全風險相關規定辦理,風險管理部對於發生個資安全事件之原因,將提供預防或改善建議。此外,個人資料保護亦列入公司內部稽核查核項目及定期每年舉辦之教育訓練課程,以提升員工對於個人資料保護之認知。

為提供客戶就其個人資料行使法定權利之機制,並符合隱私保護,元大金控依據金融控股公司法、金融控股公司子公司間共同行銷管理辦法及相關法令,訂定並於官網揭露「客戶資料保密措施」,明示元大金控除該保密措施所定情形或經客戶書面同意外,不會向第三人揭露客戶個人資料;另亦於官網公告之「隱私權保護聲明」,說明元大金控對客戶個人資料之蒐集政策、儲存及保護措施、客戶行使查詢、修正及刪除之權利等規範,並提供電子郵件信箱作為提出意見之管道,使客戶清楚自身權益,並安心使用元大金控網站所提供之各項服務。