資訊安全政策及制度
本公司訂有「資訊安全政策」,核決層級為董事會,並透過每年進行評估以反映法令規章、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。
|
資訊安全組織與專責單位
為推行各項資訊安全管理作業,本公司於2018年在資訊部下設置「資訊安全科」,將任務型小組提升為常態型組織,強化資訊系統維運安控及業務調整穩定,以期提供客戶安全的資訊交易環境。近年來隨著數位金融逐漸普及,個人資料安全、資訊安全防護、情資威脅等議題也成為金融業近年必須關注的重點,為深化內部控制三道防線及職務區隔,本公司第十二屆第二十次董事會核准,於2023年10月新設「資訊安全部」為資訊安全專責單位,配置資訊安全主管及二名資訊安全人員,負責規劃、監控及執行資訊安全管理作業,監督並確保組織執行各項資訊安全作業之有效性。
|
|
|
此外,本公司設有「資訊安全委員會」,由總經理擔任總召集人、資訊長擔任副總召集人,委員由本公司總經理及各部門主管擔任,負責審核資訊安全管理系統目標及實施範圍;資訊安全部主管擔任資訊安全管理代表,負責督導資訊安全管理系統之實施及協調各組作業。
除訂定資訊安全政策及具體管理辦法與細則外,「資訊安全委員會」與各任務小組將因應資訊安全的威脅發展、業務異動之需求或主管機關之要求持續進行相關辦法及細則之調整改善,每年皆定期評估資訊安全風險並據以持續改進,以期達成安全、便利、營運不中斷的金融服務。
|
國際資訊安全管理標準及相關驗證
本公司自2011年開始導入資訊安全管理系統(ISMS),於同年8月通過「ISO 27001:2013 資訊安全管理系統」國際標準認證,透過「Plan-Do-Check-Act」(PDCA)之循環運作持續優化組織資訊安全管理,並每年通過公正第三方(SGS Taiwan)驗證,以維持證書持續有效,目前證書有效期至2025年10月31日。
|
資訊安全具體管理方案
資訊安全監控與防護
本公司透過建置網路防火牆、防毒軟體、電子郵件過濾機制、資通安全威脅偵測管理機制、入侵偵測及防禦機制、應用程式防火牆、DDoS 流量清洗、特權管理系統等,由內至外打造多層次之安全防護。
|
資訊安全檢測
為檢驗資訊安全維運與防護之有效性,本公司定期透過各項資訊安全檢測作業,發現潛在資訊安全威脅或弱點,並透過實施技術面與管理面相關控制措施,提升網路及資訊系統安全防護能力。
|
|
檢測項目
|
檢測頻率
|
說明
|
| 弱點掃描 |
每半年1次 |
透過自動化掃描工具,針對作業系統、系統環境等進行檢測,以找出隱藏的漏洞或弱點。 |
| 社交工程演練 |
每半年1次 |
針對集團所有人員,於內部安全監控範圍內,寄發演練郵件,測試、宣導及強化資通安全教育。 |
分散式阻斷攻擊
(DDoS)演練 |
每年至少1次 |
檢驗本公司在遭受分散式阻斷服務攻擊時之緊急應變能力 |
| 電子交易系統備援演練 |
每年至少1次 |
檢驗本公司電子交易系統若發生故障時,可否順利切換至備援設備 |
| 資安健診 |
每兩年1次 |
委請第三方資安公司辦理集團資安健診,尋找內部脆弱點。 |
|
資訊安全教育訓練與宣導
本公司每年對全體員工實施至少3 小時資訊安全教育訓練與評量,加強同仁對資訊安全整體意識,以期形塑重視資訊安全之企業文化,2023 年度共舉辦三場教育訓練,共有1323人次參訓,總訓練時數1971小時。
|
|
課程名稱
|
授課方式
|
總時數
|
參與人數
|
| 物聯網管理人員教育訓練 |
線上課程 |
1小時 |
27 |
| 2023年上半年資通安全教育訓練 |
線上課程 |
1.5小時 |
646 |
| 2023年下半年資通安全教育訓練 |
線上課程 |
1.5小時 |
650 |
|
投入資安經費情形
在資訊安全經費方面,鑑於近來網路攻擊威脅日益增高,本公司持續投入資源在加強各項防護、汰換升級具安全疑慮或老舊之設備,2023年資安預算(包括資安相關軟硬體授權及服務費用、核心營運系統及設備、人員訓練費用)占全部資訊預算費用之比率在五成以上。
|
|
|
資通安全人員之專業資格能力
本公司3名資訊安全專責人員共具有8張資安證照。
|
重大資訊安全事件
本公司2023年8月曾接獲外部通知,暗網疑似有本公司客戶資料販售,考量欄位含有聯絡電話,經評估若資料遭有心人士惡意使用,可能使客戶接到詐騙電話之機率提高,已對該案12筆個人資料所屬客戶發送通知函,提醒留意詐騙行為之防範並採取以下因應措施及改善作為。
|
|
|
事件因應措施及改善作為
■ 通報主管機關及向警政單位報案。
■ 已委請第三方資安公司辦理集團資安健診。
■ 已委請會計師事務所對本公司個人資料保護內部控制制度進行專案查核。
■ 持續改進資訊安全防護措施,加強系統和數據庫之安全性,以保護客戶個人資料免於不法侵害。
■ 建立定期監控機制,對系統進行漏洞掃描及強化安全設置,並持續更新相關技術以應對不斷變化的資安威脅。
|
個人資料管理制度管理
個人資料保護是康和證券對客戶的承諾,為善盡客戶個人資料保護管理責任,康和證券於2015年成立「個人資料管理制度管理審查會議」目的為確保個人資料管理體系持續運作,及個人資料之適用性、適切性及有效性。
並於官網公告「隱私權保護聲明」專區、「資通安全說明」專區,確保康和證券合法蒐集、處理及利用客戶資料,保護客戶個人資料安全,並持續精進各項規範與作業程序,藉由法遵自評、內稽查核及全公司定期教育訓練,落實個資保護。
康和證券謹慎運用客戶資料,將持續加強人員教育訓練,提升康和證券服務品質。
• 點擊前往「隱私權保護聲明」專區
• 點擊前往「資通安全說明」專區
|
電子交易安全
本公司致力推廣電子交易,電子交易佔全公司的交易比重逐年成長,本公司使用臺灣網路認證CA 憑證來做下單的簽驗認證,客戶在網路交易時,除了有帳號及密碼檢查之外,還經由公正的第三者所發行的憑證作為第二道關卡,以及採用國際公認的SSL 技術作傳輸加密,以增加網路交易時所重視的安全程度。
電子交易密碼安全
■ 客戶交易帳號於更新啟始密碼後方可繼續作業。
■ 各項密碼輸入錯誤三次後鎖定。
■ 憑證密碼自產生日起,有一個月的效期,過期自動失效。
■ 要求客戶設定優質密碼(英文大、小寫及數字),提升密碼複雜度。
|
