元大金控
本公司訂有「資訊安全政策」由董事會核定,以為金控及子公司建立資訊安全管理制度及訂定相關資訊安全管理規範、程序等之依據,確保公司重要資訊機密性、完整性及可用性。另本公司資訊安全政策以保護股東權益為基礎,並以「保護資訊資產安全」及「維持業務持續運作,以達企業永續經營」為目標。
為提升金控對資安議題之決策能量,強化資安監理,統籌資安政策推動協調與資源調度,本公司109年12月董事會通過組織規程,增設獨立且專責之資安單位「資訊安全部」及資安長(CISO),負責全公司資訊安全治理、規劃、督導及推動執行資訊安全管理作業,並將資安辦理執行情形定期提報董事會。
為持續對資訊安全精進治理制度,所有資訊作業除符合國內外資訊安全法令法規外,金控、證券、銀行及人壽均已分別導入ISO 27001資訊安全管理制度(ISMS),並通過英國標準協會(BSI)之驗證,其後賡續年度審查及每三年之重新審查,確保證書有效;另期貨、投信亦於2020年12月導入ISO 27001資訊安全管理制度(ISMS),並通過英國標準協會(BSI)之驗證,以PDCA(Plan-Do-Check-Act)之循環式品質管理架構持續強化資訊安全之監控與管理。
鑒於資安威脅日益升高,科技發展所帶來的網路威脅與風險變化,及因應外部多變的攻擊手法,資訊安全管理除落實資訊治理、法令遵循外,風險管控著重在資安防護,包括內部自我檢核、外部主動偵測、災害應變演練及管理強化。另本公司亦積極導入各項自動化偵測、行為監控等系統,不論外部威脅之即時監控、阻擋,或內部環境之資料存取、作業行為及設備區隔均加以管控,以綿密的分層隔離過濾機制防範不法或惡意行為。
除上述資訊安全防護措施外,金控及子公司皆參與臺灣金融資安情資分享中心(F-ISAC),利用相關資安防禦系統整合威脅情資以達聯防綜效。各公司並透過第三方公信單位協助評估潛在風險,定期進行弱點掃描、滲透測試及依規應辦理之各項電腦資訊安全檢測或評估作業。
再者,透過定期審視、更新資訊安全管理規範以符合法規及最新資安要求標準。每年定期進行資訊系統災害備援演練,提升災害處理應變能力,建構完善的治理制度與資安防護能力,確保資訊系統的穩定性與資安管控的有效性。
- 資訊安全落實國際標準:
- 金控、證券、銀行及人壽均已分別通過ISO 27001資訊安全管理制度(ISMS)之年度續審,並通過英國標準協會(BSI)之驗證,確認證書有效性。元大金控目前證書之有效期為2020年12月至2023年12月。
- 期貨、投信亦於2020年12月導入ISO 27001資訊安全管理制度(ISMS),並通過英國標準協會(BSI)之驗證。
- 資訊安全防護與檢測:透過獨立第三方執行資訊安全評估及相關檢測,檢視既有控制措施之有效性
- 資訊安全教育訓練:2020年金控及子公司均完成一般同仁3個小時資訊安全教育訓練、資安專責人員15小時資安專業訓練課程,以提升資訊安全能力,另每年不定期辦理電子郵件社交工程演練,提升全體同仁資安意識。
- 本公司已於2020年12月28日增設獨立且專責之資安單位「資訊安全部」及資安長(CISO),負責全公司資訊安全治理、規劃、督導及推動執行資訊安全管理作業,並每年定期向董事會報告資訊安全辦理情形。
- 資訊安全辦理情形報告已於2021年3月3日第八屆第二十五次董事會報告在案。