元大金控元大金控 元大金控元大金控 元大金控元大金控

資訊安全 信息安全 Information Security
資訊安全管理架構與機制

本公司訂有「資訊安全政策」由董事會核定,以為金控及子公司建立資訊安全管理制度及訂定相關資訊安全管理規範、程序等之依據,確保公司重要資訊機密性、完整性及可用性。另本公司資訊安全政策以保護股東權益為基礎,並以「保護資訊資產安全」及「維持業務持續運作,以達企業永續經營」為目標。

為提升金控對資安議題之決策能量,強化資安監理,統籌資安政策推動協調與資源調度,本公司109年12月董事會通過組織規程,增設獨立且專責之資安單位「資訊安全部」及資安長(CISO),負責全公司資訊安全治理、規劃、督導及推動執行資訊安全管理作業,並將資安辦理執行情形定期提報董事會。

資訊安全與個資國際標準

為持續對資訊安全精進治理制度,所有資訊作業除符合國內外資訊安全法令法規外,金控、證券、銀行及人壽均已分別導入ISO 27001資訊安全管理制度(ISMS),並通過英國標準協會(BSI)之驗證,其後賡續年度審查及每三年之重新審查,確保證書有效;另期貨、投信亦於2020年12月導入ISO 27001資訊安全管理制度(ISMS),並通過英國標準協會(BSI)之驗證,以PDCA(Plan-Do-Check-Act)之循環式品質管理架構持續強化資訊安全之監控與管理。

資訊安全防護與檢測

鑒於資安威脅日益升高,科技發展所帶來的網路威脅與風險變化,及因應外部多變的攻擊手法,資訊安全管理除落實資訊治理、法令遵循外,風險管控著重在資安防護,包括內部自我檢核、外部主動偵測、災害應變演練及管理強化。另本公司亦積極導入各項自動化偵測、行為監控等系統,不論外部威脅之即時監控、阻擋,或內部環境之資料存取、作業行為及設備區隔均加以管控,以綿密的分層隔離過濾機制防範不法或惡意行為。

資安防護-服務安全防護重點
資訊安全持續營運

除上述資訊安全防護措施外,金控及子公司皆參與臺灣金融資安情資分享中心(F-ISAC),利用相關資安防禦系統整合威脅情資以達聯防綜效。各公司並透過第三方公信單位協助評估潛在風險,定期進行弱點掃描、滲透測試及依規應辦理之各項電腦資訊安全檢測或評估作業。

再者,透過定期審視、更新資訊安全管理規範以符合法規及最新資安要求標準。每年定期進行資訊系統災害備援演練,提升災害處理應變能力,建構完善的治理制度與資安防護能力,確保資訊系統的穩定性與資安管控的有效性。

2020年資訊安全重要業務整體執行概況
  1. 資訊安全落實國際標準:
    • 金控、證券、銀行及人壽均已分別通過ISO 27001資訊安全管理制度(ISMS)之年度續審,並通過英國標準協會(BSI)之驗證,確認證書有效性。元大金控目前證書之有效期為2020年12月至2023年12月。
    • 期貨、投信亦於2020年12月導入ISO 27001資訊安全管理制度(ISMS),並通過英國標準協會(BSI)之驗證。
  2. 資訊安全防護與檢測:透過獨立第三方執行資訊安全評估及相關檢測,檢視既有控制措施之有效性
  3. 資訊安全教育訓練:2020年金控及子公司均完成一般同仁3個小時資訊安全教育訓練、資安專責人員15小時資安專業訓練課程,以提升資訊安全能力,另每年不定期辦理電子郵件社交工程演練,提升全體同仁資安意識。
  4. 本公司已於2020年12月28日增設獨立且專責之資安單位「資訊安全部」及資安長(CISO),負責全公司資訊安全治理、規劃、督導及推動執行資訊安全管理作業,並每年定期向董事會報告資訊安全辦理情形。
  5. 資訊安全辦理情形報告已於2021年3月3日第八屆第二十五次董事會報告在案。

元大金控已建立個人資料保護制度並於各項業務落實執行,除訂有「個人資料管理保護政策」、「個人資料管理辦法」等內部規章並適時檢視修正外,另設立跨部室之個人資料保護小組(下稱個資保護小組)作為專責單位,負責推動、協調及督導元大金控各項個人資料保護相關事宜。

個資保護小組係由總經理指定副總經理級以上主管擔任召集人及副召集人,及由各部室指派代表擔任小組成員,並視業務執行情形召開會議討論個資保護事宜。個資保護小組每年至少進行一次個人資料保護管理審查,審查結果併同年度法令遵循制度執行情形提報董事會。

就公司業務上面臨之個人資料風險,元大金控每年至少辦理一次風險評估,並依評估結果訂定控管措施,評估結果及相關分析均提報個資保護小組會議。若發生個人資料安全或外洩事件,除由各部室依規定程序通報作業風險事件外,涉及資訊面風險者,資訊部將依資訊安全風險相關規定辦理,風險管理部對於發生個資安全事件之原因,將提供預防或改善建議。此外,個人資料保護亦列入公司內部稽核查核項目及定期每年舉辦之教育訓練課程,以提升員工對於個人資料保護之認知。

為提供客戶就其個人資料行使法定權利之機制,並符合隱私保護,元大金控依據金融控股公司法、金融控股公司子公司間共同行銷管理辦法及相關法令,訂定並於官網揭露「客戶資料保密措施」,明示元大金控除該保密措施所定情形或經客戶書面同意外,不會向第三人揭露客戶個人資料;另亦於官網公告之「隱私權保護聲明」,說明元大金控對客戶個人資料之蒐集政策、儲存及保護措施、客戶行使查詢、修正及刪除之權利等規範,並提供電子郵件信箱作為提出意見之管道,使客戶清楚自身權益,並安心使用元大金控網站所提供之各項服務。