董事会为本公司信息安全管理之最高决策单位,本公司订有「信息安全政策」由董事会核定,以为本公司及子公司创建信息安全管理制度及订定相关信息安全管理规范、进程等之依据。另本公司信息安全政策以保护股东权益为基础,并以「保护信息资产安全」及「维持业务持续运作,以达企业永续经营」为目标。
为提升本公司对资安议题之决策能量,本公司暨主要子公司已设置资安长,统筹资安政策推动协调与资源调度,亦成立信息安全专责或权责单位,负责信息安全规划、监控及运行信息安全管理作业,并每年于董事会报告前一年度资安整体运行情形,以强化资安监理。本公司信息安全专责单位配置11名资安专业人员,另信息安全办理情形报告已于113年1月31日第九届第二十三次董事会报告在案。
为统筹信息安全事项之管理,本公司设置跨部门之「信息安全小组」,由总经理指派召集人及副召集人,定期召开信息安全小组会议及管理审查会议,112年共召开6次会议,就信息安全管理运行情形及信息安全相关事项进行研议,以提升整体资安防护能量。
- 导入国际资安管理标准及取得验证
- 信息安全防护机制与检测
- 信息安全防护检测监控
- 信息安全教育训练
为持续精进信息安全治理制度,信息作业除符合国内外信息安全法令法规外,本公司及证券、银行、人寿、投信、期货均已导入ISO 27001:2013信息安全管理制度(ISMS)之标准,其后赓续办理每年续审及每三年重审,112年均已通过验证,证书持续有效并以PDCA(Plan-Do-Check-Act)之循环式品质管理架构持续强化信息安全之监控与管理。另配合国际标准组织(ISO)于111年10月25日正式发布新版标准ISO 27001:2022,本公司亦已于112年11月通过英国标准协会(BSI)新版验证,证书之有效期为112年12月至115年12月。
配合金管会「金融资安行动方案」及增进营运持续管理量能,银行、人寿、证券与投信均已导入营运持续管理国际标准(ISO 22301),其后赓续办理每年续审,112年均已通过验证,证书持续有效。以风险导向为基础,结合业务端与系统端之各项资源,确保在任何情况下能维持营运水准,降低营运中断风险,使组织具备更强的回复韧性。
提升网络与信息系统防护能力,创建多层次纵深防御架构,设置包括网络防火墙、软件应用程序防火墙、入侵侦测系统、垃圾邮件过滤、邮件APT、上网行为管理、杀毒系统、反钓鱼网站及伪冒APP监控机制、端点防护机制(EDR)等系统,以确保信息系统安全。
本公司暨主要子公司定期透过独立第三方定期运行弱点扫描、渗透测试、分布式阻断(DDoS)演练、社交工程演练及电脑系统信息安全评估等作业,以确保信息系统的稳定性、安全性及既有控制措施之完整性与有效性。
因应金融科技快速发展,信息安全已是组织重要的风险管理议题,为掌握新兴资安情资与资安趋势,本公司暨主要子公司透过加入金融资安信息分享与分析中心 (F-ISAC)及参与金融资安联防监控中心(F-SOC)跨域联防与资安事件分享,及早因应风险威胁,有效提升整体资安防御力。另亦已导入信息安全事件管理平台 (Security Information and Event Management, SIEM) ,以确保信息安全防护监控之有效性。
为强化网络异常行为侦测告警之即时性及有效性,及配合金管会「金融资安行动方案」运行措施,本公司及旗下子公司已委由第三方专业机构建置资安监控机制(SOC),透过 7x24 全时维运之即时监看,提供事前威胁的预警情报、事中威胁的即时告警以及事后威胁的分析建议,提升资安事件应变能力,达成资安监控联防与协同运作性能。
本公司及旗下子公司均完成112年一般同仁3个小时信息安全教育训练,资安专责人员亦已完成15小时资安专业训练课程,以提升信息安全能力,另定期办理电子邮件社交工程演练,提升全体同仁资安意识。
本公司暨主要子公司均明定信息安全事件通报与处理进程,依其事件等级进行对应层级之通报与处理。信息单位需于目标处理时间内排除及解决该事件,并于事件处理完毕后进行分析,以预防事件重复发生。
重大资通安全事件应变处理具高度时效性要求,本公司设立「电脑资安事件应变小组」,由本公司总经理担任召集人,以即时掌握及支持本公司暨子公司重大资安事件之应变处理,降低事件损害。
最近年度及截至年报刊印日止,未发生造成客户权益受损或影响机构健全营运之重大资通安全事件。