資通安全風險管理架構
近年來隨著數位金融逐漸普及,個人資料安全、資訊安全防護、情資威脅等議題也成為金融業近年必須關注的重點,為深化內部控制三道防線及職務區隔,本公司第十二屆第二十次董事會核准,於2023年10月新設「資訊安全部」為資訊安全專責單位,負責規劃、監控及執行資訊安全管理作業,監督並確保組織執行各項資訊安全作業之有效性。
|
|
|
此外,本公司設有「資訊安全委員會」,由總經理擔任總召集人、資訊長擔任副總召集人,委員由本公司總經理及各部門主管擔任,負責審核資訊安全管理系統目標及實施範圍;資訊安全部主管擔任資訊安全管理代表,負責督導資訊安全管理系統之實施及協調各組作業。
除訂定資訊安全政策及具體管理辦法與細則外,「資訊安全委員會」與各任務小組將因應資訊安全的威脅發展、業務異動之需求或主管機關之要求持續進行相關辦法及細則之調整改善,每年皆定期評估資訊安全風險並據以持續改進,以期達成安全、便利、營運不中斷的金融服務。
|
資通安全政策
本公司訂有「資訊安全政策」,核決層級為董事會,並透過每年進行評估以反映法令規章、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。
本公司自2011年開始導入資訊安全管理系統 (ISMS),於同年8月通過「ISO 27001:2013資訊安全管理系統」國際標準認證,透過「Plan-Do-Check-Act」(PDCA)之循環運作持續優化組織資訊安全管理,並每年通過公正第三方(SGS Taiwan)驗證,以維持證書持續有效,目前證書有效期至2025年10月31日。
|
|
 
|
具體管理方案及投入資通安全管理之資源
(一) 資訊安全監控與防護
本公司透過建置網路防火牆、防毒軟體、電子郵件過濾機制、資通安全威脅偵測管理機制、入侵偵測及防禦機制、應用程式防火牆、DDoS流量清洗、特權管理系統等,由內至外打造多層次之安全防護。
(二) 資訊安全檢測
為檢驗資訊安全維運與防護之有效性,本公司定期透過各項資訊安全檢測作業,發現潛在資訊安全威脅或弱點,並透過實施技術面與管理面相關控制措施,提升網路及資訊系統安全防護能力。
|
|
|
(三) 資訊安全教育訓練與宣導
本公司每年對全體員工實施至少3小時資訊安全教育訓練與評量,加強同仁對資訊安全整體意識,以期形塑重視資訊安全之企業文化。
|
重大資訊安全事件
本公司於2023年8月發生一件個資疑似外洩事件,針對可能影響與因應措施,說明如下:
|
(一) 可能影響
因欄位含有聯絡電話,經評估若資料遭有心人士惡意使用,可能使客戶接到詐騙電話之機率提高,已對該案12筆個人資料所屬客戶發送通知函,並提醒留意詐騙行為之防範。
(二) 因應措施
1.通報主管機關及向警政單位報案。
2.已委請第三方資安公司辦理集團資安健診。
3.已委請會計師事務所對本公司個人資料保護內部控制制度進行專案查核。
4.持續改進資訊安全防護措施,加強系統和數據庫之安全性,以保護客戶個人資料免於不法侵害。
5.建立定期監控機制,對系統進行漏洞掃描及強化安全設置,並持續更新相關技術以應對不斷變化的資安威脅。
|
