元大金控
本公司於100年導入ISO 27001資訊安全管理制度(ISMS)標準,並通過英國標準協會(BSI)之認證,其後賡續年度審查及每三年之重審作業,以PDCA之循環架構持續強化資訊安全之監控與管理。於此資訊安全管理框架下設置常態之「資訊安全小組」,統籌並檢視資訊安全政策、計畫、資源調度、風險評鑑、危機處理等事項之協調與研議。
資訊安全小組負責資訊安全管理制度之落實並監督運作狀況,定期召開資訊安全會議及管理審查會議,就資訊安全管理執行狀況及資訊安全相關事項進行研議,並將資安執行概況定期陳報董事會。
資訊安全組織運作架構圖:
本公司資訊安全政策以保護股東權益為基礎,以「保護資訊資產安全」及「維持業務持續運作,以達企業永續經營」為目標。資訊安全管理架構則透過資訊安全政策、資訊安全管理要點等四階管理規範文件之框架施行。
鑒於資安威脅日益升高,資訊安全管理除落實資訊治理、法令遵循外,風險管控著重在資安防護,包括內部自我檢核、外部主動偵測、災害應變演練及強化管理等。本公司已積極導入各項自動化偵測、行為檢核、不法行為禁制等系統,不論外部威脅之即時監控、阻擋,或內部環境之資料存取、作業行為及設備區隔均加以管控,以綿密的分層隔離過濾機制防範不法或惡意行為。此外,除了不斷提升整體資訊安全架構,為加強企業保障,目前亦就相關資安險進行評估中。
- 網站滲透測試
- 伺服器弱點掃描
- 防毒機制 / 惡意程式掃描
- 系統日誌登入紀錄
- 二層式防火牆之防護機制
- 入侵測試系統
- DDoS分散式阻斷攻擊防護
- DNS名稱解析服務委外
- 外部郵件APT偵測(惡意郵件偵測)
- 應用程式防火牆
- 偽冒釣魚網站與惡意APP偵測與下架
- 災害復原計畫
- 資訊系統、網路設備復原演練
- DDoS防護程序演練
- 駭客攻擊應變演練
-
分析、發展、建置、持續
- 營運衝擊分析
- 風險評鑑
- ISMS資訊安全內部查核
本公司及旗下子公司皆積極參與臺灣金融資安情資分享中心F-ISAC,並利用相關資安防禦系統整合威脅情資以達聯防綜效。主要子公司證券、銀行及人壽均已分別導入ISO 27001資訊安全管理制度(ISMS) 及BS 10012個人資訊管理制度(PIMS)之標準並取得認證,強化資訊安全與個資保護管理機制,期貨、投信亦規劃導入ISO 27001資訊安全管理制度(ISMS)。各公司並透過第三方公信單位協助評估潛在風險,定期進行弱點掃描、滲透測試及依規應辦理之各項資訊安全檢測或評估作業。再者,透過定期審視、更新資訊安全管理規範以符合法規及最新資安要求標準,配合資安威脅攻擊、備援演練及教育訓練等,強化集團員工職能與危機意識,健全資訊安全管理機制。