元大金控
董事會為本公司資訊安全管理之最高決策單位,本公司訂有「資訊安全政策」由董事會核定,以為本公司及子公司建立資訊安全管理制度及訂定相關資訊安全管理規範、程序等之依據。另本公司資訊安全政策以保護股東權益為基礎,並以「保護資訊資產安全」及「維持業務持續運作,以達企業永續經營」為目標。
為提升本公司對資安議題之決策能量,本公司暨主要子公司已設置資安長,統籌資安政策推動協調與資源調度,亦成立資訊安全專責或權責單位,負責資訊安全規劃、監控及執行資訊安全管理作業,並每年於董事會報告前一年度資安整體執行情形,以強化資安監理。本公司資訊安全專責單位配置11名資安專業人員,另資訊安全辦理情形報告已於113年1月31日第九屆第二十三次董事會報告在案。
為統籌資訊安全事項之管理,本公司設置跨部門之「資訊安全小組」,由總經理指派召集人及副召集人,定期召開資訊安全小組會議及管理審查會議,112年共召開6次會議,就資訊安全管理執行情形及資訊安全相關事項進行研議,以提升整體資安防護能量。
- 導入國際資安管理標準及取得驗證
- 資訊安全防護機制與檢測
- 資訊安全防護檢測監控
- 資訊安全教育訓練
為持續精進資訊安全治理制度,資訊作業除符合國內外資訊安全法令法規外,本公司及證券、銀行、人壽、投信、期貨均已導入ISO 27001:2013資訊安全管理制度(ISMS)之標準,其後賡續辦理每年續審及每三年重審,112年均已通過驗證,證書持續有效並以PDCA(Plan-Do-Check-Act)之循環式品質管理架構持續強化資訊安全之監控與管理。另配合國際標準組織(ISO)於111年10月25日正式發布新版標準ISO 27001:2022,本公司亦已於112年11月通過英國標準協會(BSI)新版驗證,證書之有效期為112年12月至115年12月。
配合金管會「金融資安行動方案」及增進營運持續管理量能,銀行、人壽、證券與投信均已導入營運持續管理國際標準(ISO 22301),其後賡續辦理每年續審,112年均已通過驗證,證書持續有效。以風險導向為基礎,結合業務端與系統端之各項資源,確保在任何情況下能維持營運水準,降低營運中斷風險,使組織具備更強的回復韌性。
提升網路與資訊系統防護能力,建立多層次縱深防禦架構,設置包括網路防火牆、軟體應用程式防火牆、入侵偵測系統、垃圾郵件過濾、郵件APT、上網行為管理、防毒系統、反釣魚網站及偽冒APP監控機制、端點防護機制(EDR)等系統,以確保資訊系統安全。
本公司暨主要子公司定期透過獨立第三方定期執行弱點掃描、滲透測試、分散式阻斷(DDoS)演練、社交工程演練及電腦系統資訊安全評估等作業,以確保資訊系統的穩定性、安全性及既有控制措施之完整性與有效性。
因應金融科技快速發展,資訊安全已是組織重要的風險管理議題,為掌握新興資安情資與資安趨勢,本公司暨主要子公司透過加入金融資安資訊分享與分析中心 (F-ISAC)及參與金融資安聯防監控中心(F-SOC)跨域聯防與資安事件分享,及早因應風險威脅,有效提升整體資安防禦力。另亦已導入資訊安全事件管理平台 (Security Information and Event Management, SIEM) ,以確保資訊安全防護監控之有效性。
為強化網路異常行為偵測告警之即時性及有效性,及配合金管會「金融資安行動方案」執行措施,本公司及旗下子公司已委由第三方專業機構建置資安監控機制(SOC),透過 7x24 全時維運之即時監看,提供事前威脅的預警情報、事中威脅的即時告警以及事後威脅的分析建議,提升資安事件應變能力,達成資安監控聯防與協同運作效能。
本公司及旗下子公司均完成112年一般同仁3個小時資訊安全教育訓練,資安專責人員亦已完成15小時資安專業訓練課程,以提升資訊安全能力,另定期辦理電子郵件社交工程演練,提升全體同仁資安意識。
本公司暨主要子公司均明定資訊安全事件通報與處理程序,依其事件等級進行對應層級之通報與處理。資訊單位需於目標處理時間內排除及解決該事件,並於事件處理完畢後進行分析,以預防事件重複發生。
重大資通安全事件應變處理具高度時效性要求,本公司設立「電腦資安事件應變小組」,由本公司總經理擔任召集人,以即時掌握及支援本公司暨子公司重大資安事件之應變處理,降低事件損害。
最近年度及截至年報刊印日止,未發生造成客戶權益受損或影響機構健全營運之重大資通安全事件。