元大金控 元大金控 元大金控

董事会为本公司信息安全管理之最高决策单位，本公司订有「信息安全政策」由董事会核定，以为本公司及子公司创建信息安全管理制度及订定相关信息安全管理规范、进程等之依据，确保公司重要信息机密性、完整性及可用性。另本公司信息安全政策以保护股东权益为基础，并以「保护信息资产安全」及「维持业务持续运作，以达企业永续经营」为目标。

为提升资安议题之决策能量，本公司暨主要子公司已设置资安长，统筹资安政策推动协调与资源调度，亦成立信息安全专责或权责单位，负责信息安全规划、监控及运行信息安全管理作业，本公司在信息安全专责单位配置10名资安专业人员。每年将信息安全整体运行情形提报董事会，以强化资安监理，本公司信息安全办理情形报告已于112年2月1日第九届第十一次董事会报告在案。

为统筹信息安全事项之管理，本公司设置跨部门之「信息安全小组」，由总经理指派召集人及副召集人，定期召开信息安全小组会议及管理审查会议，111年共召开7次会议，就信息安全管理运行情形及信息安全相关事项进行研议，以提升整体资安防护能量。

本公司定期召开集团资安主管联席会，由金控资安长担任召集人，与会成员包含子公司资安长及其资安主管，就集团策略、关键议题、子公司间待协调或讨论事项、经验分享等，以增进集团间的交流与强化资安联防。

1. 导入国际资安管理标准及取得验证

为持续对信息安全精进治理制度，信息作业除符合国内外信息安全法令法规外，本公司及证券、银行、人寿、投信、期货均已分别导入ISO 27001信息安全管理制度(ISMS)之标准，其后赓续办理每年续审及每三年重审，111年均已通过英国标准协会(BSI)之验证，证书持续有效，并以PDCA(Plan-Do-Check-Act)之循环式品质管理架构持续强化信息安全之监控与管理，本公司目前证书之有效期为109年12月至112年12月。

另为增进营运持续管理量能及符合金融资安行动方案，银行与人寿于111年导入国际营运持续管理制度 (ISO22301)，并通过英国标准协会(BSI)之验证。以风险导向为基础，结合业务端与系统端之各项资源，确保在任何情况下能维持营运水准，降低营运中断风险，使组织具备更强的回复韧性。

2. 信息安全防护机制

创建多层次纵深防御架构，设置包括网络防火墙、软件应用程序防火墙、入侵侦测系统、垃圾邮件过滤、邮件APT、上网行为管理、杀毒系统、信息安全事件管理与端点防护等系统，以确保信息系统安全。亦积极导入各项自动化侦测与监控系统，不论外部威胁之即时监控、阻挡，或内部环境之数据访问、作业行为监控及设备区隔均加以管控，以绵密的分层隔离过滤机制防范不法或恶意行为，以因应资通安全风险威胁，提升整体资安防御能力。

另为集成人员、流程与技术，并集中式即时监控信息安全威胁，掌握信息安全状态，银行与证券于111年创建资安监控机制(SOC)，以能即时有效关联与分析整体资安威胁，提升应处与管理能力，确保交易安全及营运维持。

3. 信息安全防护检测

为确保信息系统的稳定性、安全性及既有控制措施之完整性与有效性，本公司及主要子公司透过独立第三方机构定期运行弱点扫描、渗透测试、分布式阻断(DDoS)演练、社交工程演练及信息安全评估等作业。另111年证券与银行亦已透过专业第三方机构进行红蓝军攻防演练，以强化因应攻击之防御侦测与应变能力。

4. 信息安全情资与联防

本公司暨主要子公司均指派专人处理金融资安信息分享与分析中心 (Financial Information Sharing and Analysis Center, F-ISAC) 及外部资安情资信息，依其建议或评估结果更新系统配置与设置，并将其处理状况定期陈报，以即时掌握新兴资安情资并拟定因应措施，利用相关资安防御系统集成威胁情资以达联防综效。

为强化分析能力，本公司、银行、证券、人寿及期货已导入信息安全事件管理平台 (Security Information and Event Management, SIEM)，透过平台侦测内部异常使用行为及外部攻击等信息安全事件，若发现潜在风险威胁信息安全，则依其异常事件进行分析处理，以达快速侦测与回应攻击之防御能量与应变能力，以确保信息安全防护监控之有效性。

5. 信息安全教育训练

本公司暨主要子公司均完成111年一般同仁3个小时信息安全教育训练、资安专责人员15小时资安专业训练课程，以提升信息安全能力，另定期办理电子邮件社交工程演练，提升全体同仁资安意识。