元大金控 元大金控 元大金控

為持續精進資訊安全治理制度，資訊作業除符合國內外資訊安全法令法規外，本公司及證券、銀行、人壽、投信、期貨均已導入ISO 27001：2022資訊安全管理制度(ISMS)之標準，其後賡續由第三方外部獨立單位進行每年續審及每三年重審，114年均已通過驗證，證書持續有效並以PDCA(Plan-Do-Check-Act)之循環式品質管理架構持續強化資訊安全之監控與管理。本公司證書之有效期為112年12月至115年12月。
(註：元大證券、元大銀行、元大人壽、元大投信、元大期貨資本額佔本集團總資本額99.97%。)

配合金管會「金融資安行動方案」及增進營運持續管理量能，銀行、人壽、證券與投信均已導入營運持續管理國際標準（ISO 22301），其後由第三方專業機構進行每年審查，114年均已通過驗證，證書持續有效。以風險導向為基礎，結合業務端與系統端之各項資源，確保在任何情況下能維持營運水準，降低營運中斷風險，使組織具備更強的回復韌性。

提升網路與資訊系統防護能力，強化資安防護措施，建立多層次縱深防禦架構，設置包括網路防火牆、軟體應用程式防火牆、入侵偵測系統、垃圾郵件過濾、郵件APT、上網行為管理、防毒系統、反釣魚網站及偽冒APP監控機制、端點資訊安全防護平台（EDR）、網路偵測與回應（NDR）等系統，以確保資訊系統安全。

本公司暨主要子公司定期透過第三方專業機構定期執行弱點掃描、滲透測試、分散式阻斷（DDoS）演練、入侵與攻擊模擬（BAS）演練、外部網路風險評估、社交工程演練及電腦系統資訊安全評估等作業，以確保資訊系統的穩定性、安全性及既有控制措施之完整性與有效性。

持續導入新資安風險控管技術，以智慧化、自動化機制提升各類資安事件隻偵測及回應處理程序效率，並強化資訊安全及網路安全保護流程。

1. 強化資安情資分享與應處
   為強化資訊安全情資與聯防，及掌握新興資安情資與資安趨勢，本公司暨主要子公司透過加入金融資安資訊分享與分析中心（F-ISAC）及參與金融資安聯防監控中心（F-SOC），另證券於已獲准加入First 國際組織，即時掌握外部資安情資，跨域聯防與資安事件分享。以更主動、更有效的面對不斷演進的資安威脅，有效提升整體資安防禦力。
2. 強化資安監控與分析
   為強化網路異常行為偵測告警之即時性及有效性，及配合金管會「金融資安行動方案」執行措施，本集團已委由第三方專業機構建置資安監控機制（SOC），透過 7x24 全時維運之即時監看，提供事前威脅的預警情報、事中威脅的即時告警以及事後威脅的分析建議，並串聯資安防禦設備、資安情資自動化、提升團隊人員資安事件應變能力，達成資安監控聯防與協同運作效能。
3. 集團大SOC三年整合計畫-資安合署辦公與雲地評估
   為有效整合集團資安資源及監控量能，提升跨公司威脅偵測及聯防效益，制定集團大SOC三年整合計畫，規劃集團資安合署辦公、建置集團大資安監控中心（SOC），從單點防守到合署聯防、共享情報與資源、基準對齊、集團協同合作、提升防護監控，統整集團資安應變體系、系統架構及人才資源。目前已完成第一階段本公司及證券、銀行、人壽、投信、期貨資安合署辦公、建置集團大資安監控中心（SOC）及雲地評估，以深化資安治理，整合資源並提升跨公司威脅偵測及聯防效益，提升集團資安防禦量能及協同運作效能。

亦透過資訊安全監控儀表板，即時監控集團資訊資產設備、電腦病毒、駭客入侵、資料外洩等資安風險指標之變化，達成集團資安監控聯防之目標。

為實際評估縱深防禦能力，及配合金管會「金融資安行動方案」執行措施，舉辦集團紅藍隊攻防演練，委請專業第三方在不影響營運前提下，運用駭客攻擊手法，採目標導向式資安演練，以驗證資安防護、監控及防禦之有效性，提升同仁面對新型態攻擊之應處能力，並就演練發現之弱點進行修補或補償性措施，另對其所提建議亦進行可行性評估與規劃相應措施，期進一步強化公司資安防禦，降低資安事件衝擊。

重大資安事件往往非僅影響單一機構，為強化體系資安風險控管與資安聯防，及配合金管會「金融資安行動方案」執行措施，委由專業第三方機構辦理集團重大資安事件通報與應變演練，以提升集團間橫向通報應變與支援協處之運作機制與能力。

本公司及旗下子公司均完成114年一般同仁3個小時資訊安全教育訓練，課程內別包含近期重大資訊安全事件分享、資安法規、個資保護、社交工程之攻擊與防護、物聯網設備安全、生成式人工智慧之安全威脅、雲端應應風險的防範措施等新興科技課程，以提升全體同仁資安意識。

資安專責人員亦已完成15小時資安專業訓練課程，課程包含資安趨勢、資安法規、資安防護技術、資安控與維運、生成式AI的趨勢與風險管理等新興科技議題，提升資安專責人員資安專業職能與技能。