資訊安全政策及制度
本公司訂有「資訊安全政策」,核決層級為董事會,並透過每年進行評估以反映法令規章、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。
|
資訊安全組織與專責單位
為推行各項資訊安全管理作業,本公司於2018年在資訊部下設置「資訊安全科」,將任務型小組提升為常態型組織,強化資訊系統維運安控及業務調整穩定,以期提供客戶安全的資訊交易環境。近年來隨著數位金融逐漸普及,個人資料安全、資訊安全防護、情資威脅等議題也成為金融業近年必須關注的重點,為深化內部控制三道防線及職務區隔,本公司第十二屆第二十次董事會核准,於2023年10月新設「資訊安全部」為資訊安全專責單位,目前設有資訊安全主管及三名資訊安全人員,負責規劃、監控及執行資訊安全管理作業,監督並確保組織執行各項資訊安全作業之有效性,並於2024年6月任命資訊安全長,統籌資安政策推動協調與資源調度。
本公司每年將前一年度資訊安全整體執行情形,由董事長、總經理、稽核主管與資訊安全長聯名出具內部控制制度聲明書,於會計年度終了後三個月內提報董事會通過,並將該聲明書內容揭露於主管機關指定之申報網站。
|
|
|
此外,本公司設有「資訊安全委員會」,本會召集人由本公司總經理擔任、資訊安全長擔任副召集人,委員由本公司總經理及各部門主管擔任,負責審核資訊安全管理系統目標及實施範圍;資訊安全部主管擔任資訊安全管理代表,負責督導資訊安全管理系統之實施及協調各組作業。
除訂定資訊安全政策及具體管理辦法與細則外,「資訊安全委員會」與各任務小組將因應資訊安全的威脅發展、業務異動之需求或主管機關之要求持續進行相關辦法及細則之調整改善,每年皆定期評估資訊安全風險並據以持續改進,以期達成安全、便利、營運不中斷的金融服務。
|
國際資訊安全管理標準及相關驗證
本公司自2011年開始導入資訊安全管理系統 (ISMS),於2024年8月通過「ISO 27001:2022資訊安全管理系統」國際標準認證,透過「Plan-Do-Check-Act」(PDCA)之循環運作持續優化組織資訊安全管理,並每年通過公正第三方(SGS Taiwan)驗證,以維持證書持續有效,目前證書有效期至2026年08月10日。
|
資訊安全具體管理方案
資訊安全監控與防護
本公司透過建置網路防火牆、防毒軟體、電子郵件過濾機制、資通安全威脅偵測管理機制、入侵偵測及防禦機制、應用程式防火牆、DDoS 流量清洗、特權管理系統等,由內至外打造多層次之安全防護。
|
資訊安全檢測
為檢驗資訊安全維運與防護之有效性,本公司定期透過各項資訊安全檢測作業,發現潛在資訊安全威脅或弱點,並透過實施技術面與管理面相關控制措施,提升網路及資訊系統安全防護能力。
|
|
檢測項目
|
檢測頻率
|
說明
|
| 弱點掃描 |
每半年1次 |
透過自動化掃描工具,針對作業系統、系統環境等進行檢測,以找出隱藏的漏洞或弱點。 |
| 社交工程演練 |
每半年1次 |
針對集團所有人員,於內部安全監控範圍內,寄發演練郵件,測試、宣導及強化資通安全教育。 |
分散式阻斷攻擊
(DDoS)演練 |
每年至少1次 |
檢驗本公司在遭受分散式阻斷服務攻擊時之緊急應變能力 |
| 電子交易系統備援演練 |
每年至少1次 |
檢驗本公司電子交易系統若發生故障時,可否順利切換至備援設備 |
| 資安健診 |
每兩年1次 |
委請第三方資安公司辦理集團資安健診,尋找內部脆弱點。 |
|
資訊安全教育訓練與宣導
本公司每年對全體員工實施至少3小時資訊安全教育訓練與評量,加強同仁對資訊安全整體意識,以期形塑重視資訊安全之企業文化,資通安全教育訓練每年因應最新資安風險趨勢進行調整,教材涵蓋深度偽造認知及防範等議題,2024年度共舉辦三場教育訓練,共有1,438人次參訓,總訓練時數2,142.5小時。
|
|
課程名稱
|
授課方式
|
總時數
|
參與人數
|
| 物聯網管理人員教育訓練 |
線上課程 |
1小時 |
29 |
| 2024年上半年資通安全教育訓練 |
線上課程 |
1.5小時 |
713 |
| 2024年下半年資通安全教育訓練 |
線上課程 |
1.5小時 |
696 |
|
辦理資安治理成熟度評估或資安監控
本公司有參與臺灣證券交易所舉辦的113年度證券商資安治理成熟度評估,透過外部專業顧問從「網路風險管理與監督」、「威脅情資管理與合作」、「網路安全管理」、「委外及依賴關係管理」、「網路事件管理與回應」等五大領域,評估組織政策面、作業面與技術面的成熟度,做為規劃與佈置本公司未來資安資源配置之依據。
|
投入資安經費情形
在資訊安全經費方面,鑑於近來網路攻擊威脅日益增高,本公司持續投入資源在加強各項防護、汰換升級具安全疑慮或老舊之設備,2023年資安預算(包括資安相關軟硬體授權及服務費用、核心營運系統及設備、人員訓練費用)占全部資訊預算費用之比率在六成以上,說明如下表:
|
|
|
資通安全人員之專業資格能力
截至2024年12月31日,本公司共有4名資訊安全專責人員,並持有11張資安證照,員工取得資安防護證照之張數除以總資產之比率約3.69%。
|
|
|
重大資訊安全事件
截至2024年12月31日止本公司重大資訊安全事件:0件。
|
|
|
客戶隱私保護及資訊安全
本公司官網設有「隱私權保護聲明」專區與「資通安全說明」專區,確保康和證券合法蒐集、處理及利用客戶資料,保護客戶個人資料安全,並持續精進各項規範與作業程序,藉由法遵自評、內稽查核及全公司定期教育訓練,落實個資保護。
康和證券謹慎運用客戶資料,將持續加強人員教育訓練,提升康和證券服務品質。
• 點擊前往「隱私權保護聲明」專區
• 點擊前往「資通安全說明」專區
※本公司2024年客訴總數為19件(其中包含交易問題2件、服務態度問題1件、帳務問題4件、開戶問題4件、業務廣告招攬問題2件、詐騙6件),客訴內容均不屬於侵犯客戶隱私。
|
電子交易安全
本公司致力推廣電子交易,電子交易佔全公司的交易比重逐年成長,本公司使用臺灣網路認證CA 憑證來做下單的簽驗認證,客戶在網路交易時,除了有帳號及密碼檢查之外,還經由公正的第三者所發行的憑證作為第二道關卡,以及採用國際公認的SSL 技術作傳輸加密,以增加網路交易時所重視的安全程度。
電子交易密碼安全
■ 客戶交易帳號於更新啟始密碼後方可繼續作業。
■ 各項密碼輸入錯誤三次後鎖定。
■ 憑證密碼自產生日起,有一個月的效期,過期自動失效。
■ 要求客戶設定優質密碼(英文大、小寫及數字),提升密碼複雜度。
|
