资通安全风险管理架构
近年来随著数位金融逐渐普及,个人资料安全、资讯安全防护、情资威胁等议题也成为金融业近年必须关注的重点,为深化内部控制三道防线及职务区隔,本公司第十二届第二十次董事会核准,于2023年10月新设「资讯安全部」为资讯安全专责单位,负责规划、监控及执行资讯安全管理作业,监督并确保组织执行各项资讯安全作业之有效性。
|
|
|
此外,本公司设有「资讯安全委员会」,由总经理担任总召集人、资讯长担任副总召集人,委员由本公司总经理及各部门主管担任,负责审核资讯安全管理系统目标及实施范围;资讯安全部主管担任资讯安全管理代表,负责督导资讯安全管理系统之实施及协调各组作业。
除订定资讯安全政策及具体管理办法与细则外,「资讯安全委员会」与各任务小组将因应资讯安全的威胁发展、业务异动之需求或主管机关之要求持续进行相关办法及细则之调整改善,每年皆定期评估资讯安全风险并据以持续改进,以期达成安全、便利、营运不中断的金融服务。
|
资通安全政策
本公司订有「资讯安全政策」,核决层级为董事会,并透过每年进行评估以反映法令规章、技术及业务等最新发展现况,确保资讯安全实务作业之有效性。
本公司自2011年开始导入资讯安全管理系统 (ISMS),于2024年8月通过「ISO 27001:2022资讯安全管理系统」国际标准认证,透过「Plan-Do-Check-Act」(PDCA)之循环运作持续优化组织资讯安全管理,并每年通过公正第三方(SGS Taiwan)验证,以维持证书持续有效,目前证书有效期至2026年08月10日。
|
|
|
具体管理方案及投入资通安全管理之资源
(一) 资讯安全监控与防护
本公司透过建置网路防火墙、防毒软体、电子邮件过滤机制、资通安全威胁侦测管理机制、入侵侦测及防御机制、应用程式防火墙、DDoS流量清洗、特权管理系统等,由内至外打造多层次之安全防护。
(二) 资讯安全检测
为检验资讯安全维运与防护之有效性,本公司定期透过各项资讯安全检测作业,发现潜在资讯安全威胁或弱点,并透过实施技术面与管理面相关控制措施,提升网路及资讯系统安全防护能力。
|
|
|
(三) 资讯安全教育训练与宣导
本公司每年对全体员工实施至少3小时资讯安全教育训练与评量,加强同仁对资讯安全整体意识,以期形塑重视资讯安全之企业文化。
|
重大资讯安全事件
本公司于2023年8月发生一件个资疑似外泄事件,针对可能影响与因应措施,说明如下:
|
(一) 可能影响
因栏位含有联络电话,经评估若资料遭有心人士恶意使用,可能使客户接到诈骗电话之机率提高,已对该案12笔个人资料所属客户发送通知函,并提醒留意诈骗行为之防范。
(二) 因应措施
1.通报主管机关及向警政单位报案。
2.已委请第三方资安公司办理集团资安健诊。
3.已委请会计师事务所对本公司个人资料保护内部控制制度进行专案查核。
4.持续改进资讯安全防护措施,加强系统和数据库之安全性,以保护客户个人资料免于不法侵害。
5.建立定期监控机制,对系统进行漏洞扫描及强化安全设置,并持续更新相关技术以应对不断变化的资安威胁。
|
