元大金控 元大金控 元大金控

為持續精進資訊安全治理制度，資訊作業除符合國內外資訊安全法令法規外，本公司及證券、銀行、人壽、投信、期貨均已導入ISO 27001：2022資訊安全管理制度(ISMS)之標準，其後賡續由第三方外部獨立單位進行每年續審及每三年重審，113年均已通過驗證，證書持續有效並以PDCA(Plan-Do-Check-Act)之循環式品質管理架構持續強化資訊安全之監控與管理。本公司證書之有效期為112年12月至115年12月。
(註：元大證券、元大銀行、元大人壽、元大投信、元大期貨資本額佔本集團總資本額99.97%。)

配合金管會「金融資安行動方案」及增進營運持續管理量能，銀行、人壽、證券與投信均已導入營運持續管理國際標準(ISO 22301)，其後賡續由第三方外部獨立單位進行每年續審，113年均已通過驗證，證書持續有效。以風險導向為基礎，結合業務端與系統端之各項資源，確保在任何情況下能維持營運水準，降低營運中斷風險，使組織具備更強的回復韌性。

提升網路與資訊系統防護能力，建立多層次縱深防禦架構，設置包括網路防火牆、軟體應用程式防火牆、入侵偵測系統、垃圾郵件過濾、郵件APT、上網行為管理、防毒系統、反釣魚網站及偽冒APP監控機制、端點資訊安全防護平台(EDR)、網路偵測與回應(NDR)等系統，以確保資訊系統安全。

本公司暨主要子公司定期透過獨立第三方定期執行弱點掃描、滲透測試、分散式阻斷(DDoS)演練、社交工程演練及電腦系統資訊安全評估等作業，以確保資訊系統的穩定性、安全性及既有控制措施之完整性與有效性。

因應金融科技快速發展，資訊安全已是組織重要的風險管理議題，為掌握新興資安情資與資安趨勢，本公司暨主要子公司透過加入金融資安資訊分享與分析中心 (F-ISAC)及參與金融資安聯防監控中心(F-SOC)跨域聯防與資安事件分享，有效提升整體資安防禦力。另導入資訊安全事件管理平台 (Security Information and Event Management, SIEM) ，以確保資訊安全防護監控之有效性。

為強化網路異常行為偵測告警之即時性及有效性，及配合金管會「金融資安行動方案」執行措施，本公司及旗下子公司已委由第三方專業機構建置資安監控機制(SOC)，透過 7x24 全時維運之即時監看，提供事前威脅的預警情報、事中威脅的即時告警以及事後威脅的分析建議，提升資安事件應變能力，達成資安監控聯防與協同運作效能。亦透過建置資訊安全管理監控儀表板，即時掌握電腦病毒、駭客入侵、資料外洩等資安風險指標之變化，以達集團資安監控聯防之目標。

為實際評估縱深防禦能力，及配合金管會「金融資安行動方案」執行措施，舉辦集團紅藍隊攻防演練，委請專業第三方在不影響營運前提下，運用駭客攻擊手法，採目標導向式資安演練，以驗證資安防護、監控及防禦之有效性，提升同仁面對新型態攻擊之應處能力，並就演練發現之弱點進行修補或補償性措施，另對其所提建議亦進行可行性評估與規劃相應措施，期進一步強化公司資安防禦，降低資安事件衝擊。

重大資安事件往往非僅影響單一機構，為強化體系資安風險控管與資安聯防，及配合金管會「金融資安行動方案」執行措施，委由專業第三方機構辦理集團重大資安事件通報與應變演練，以提升集團間橫向通報應變與支援協處之運作機制與能力。

本公司及旗下子公司均完成113年一般同仁3個小時資訊安全教育訓練，資安專責人員亦已完成15小時資安專業訓練課程，以提升資訊安全能力，另定期辦理電子郵件社交工程演練，提升全體同仁資安意識。

對於內部資料進行分類(如機密、敏感、一般、公開)，並標示其等級，確保依據資料重要程度進行保護。機密性與敏感性資料進行加密儲存與傳輸(如使用TLS/SSL、AES加密等)，建立資料外洩偵測防護(DLP)、入侵偵測與防護系統（IDS/IPS）等，以偵測與防止未經授權的入侵行為。另依據應用系統屬性及重要，建立系統同地及異地備援作業，定期執行備援演練及壓力測試並留存紀錄，以確保備援程序之有效性。

對於存取控制與身分驗證，採最小授權、正式授權、可識別、可覆核之原則，並依據職務、角色需求分配權限，避免未經授權存取，並定期檢視使用者權限與移除不必要權限。

對於網路之存取，將資訊服務、使用者及資訊系統各群組使用的網路加以區隔。對於開放的網路以及穿越組織邊界的網路，依存取控制政策與營運應用的要求，限制使用者連線至網路的能力，以確保電腦連線與資訊傳輸安全性。