元大金控元大金控 元大金控元大金控 元大金控元大金控

EN
資訊安全 信息安全 Information Security
資訊安全 信息安全 Information Security 個資保護 个资保护 Personal Data Protection
资通安全风险管理架构与机制

董事会为本公司信息安全管理之最高决策单位,本公司订有「信息安全政策」由董事会核定,以为本公司及子公司创建信息安全管理制度及订定相关信息安全管理规范、进程等之依据。另本公司信息安全政策以保护股东权益为基础,并以「保护信息资产安全」及「维持业务持续运作,以达企业永续经营」为目标。

为提升本公司对资安议题之决策能量,本公司暨主要子公司已设置资安长,统筹资安政策推动协调与资源调度,亦成立信息安全专责或权责单位,负责信息安全规划、监控及运行信息安全管理作业,并每年于董事会报告前一年度资安整体运行情形,以强化资安监理。本公司信息安全专责单位配置14名资安专业人员,另信息安全办理情形报告已于114年1月20日第九届第三十五次董事会报告在案。

为统筹信息安全事项之管理,本公司设置跨部门之「信息安全小组」,由总经理指派召集人及副召集人,定期召开信息安全小组会议及管理审查会议,113年共召开6次会议,就信息安全管理运行情形及信息安全相关事项进行研议,以提升整体资安防护能量。

具体管理方案与投入资源

为达资安政策与目标,创建全面资安防护,推行的具体管理方案与投入资源如下:

导入国际资安管理标准及取得验证

为持续精进信息安全治理制度,信息作业除符合国内外信息安全法令法规外,本公司及证券、银行、人寿、投信、期货均已导入ISO 27001:2022信息安全管理制度(ISMS)之标准,其后赓续办理每年续审及每三年重审,113年均已通过验证,证书持续有效并以PDCA(Plan-Do-Check-Act)之循环式品质管理架构持续强化信息安全之监控与管理。本公司证书之有效期为112年12月至115年12月。

配合金管会「金融资安行动方案」及增进营运持续管理量能,银行、人寿、证券与投信均已导入营运持续管理国际标准(ISO 22301),其后赓续办理每年续审,113年均已通过验证,证书持续有效。以风险导向为基础,结合业务端与系统端之各项资源,确保在任何情况下能维持营运水准,降低营运中断风险,使组织具备更强的回复韧性。

信息安全防护机制与检测

提升网络与信息系统防护能力,创建多层次纵深防御架构,设置包括网络防火墙、软件应用程序防火墙、入侵侦测系统、垃圾邮件过滤、邮件APT、上网行为管理、杀毒系统、反钓鱼网站及伪冒APP监控机制、端点信息安全防护平台(EDR)、网络侦测与回应(NDR)等系统,以确保信息系统安全。

本公司暨主要子公司定期透过独立第三方定期运行弱点扫描、渗透测试、分布式阻断(DDoS)演练、社交工程演练及电脑系统信息安全评估等作业,以确保信息系统的稳定性、安全性及既有控制措施之完整性与有效性。

信息安全情资与联防监控

因应金融科技快速发展,信息安全已是组织重要的风险管理议题,为掌握新兴资安情资与资安趋势,本公司暨主要子公司透过加入金融资安信息分享与分析中心 (F-ISAC)及参与金融资安联防监控中心(F-SOC)跨域联防与资安事件分享,有效提升整体资安防御力。另导入信息安全事件管理平台 (Security Information and Event Management, SIEM) ,以确保信息安全防护监控之有效性。

为强化网络异常行为侦测告警之即时性及有效性,及配合金管会「金融资安行动方案」运行措施,本公司及旗下子公司已委由第三方专业机构建置资安监控机制(SOC),透过 7x24 全时维运之即时监看,提供事前威胁的预警情报、事中威胁的即时告警以及事后威胁的分析建议,提升资安事件应变能力,达成资安监控联防与协同运作性能。亦透过建置信息安全管理监控仪表板,即时掌握电脑病毒、骇客入侵、数据外泄等资安风险指针之变化,以达集团资安监控联防之目标。

资安攻防演练与重大资安事件演练

为实际评估纵深防御能力,及配合金管会「金融资安行动方案」运行措施,举办集团红蓝队攻防演练,委请专业第三方在不影响营运前提下,运用骇客攻击手法,采目标导向式资安演练,以验证资安防护、监控及防御之有效性,提升同仁面对新型态攻击之应处能力,并就演练发现之弱点进行修补或补偿性措施,另对其所提建议亦进行可行性评估与规划相应措施,期进一步强化公司资安防御,降低资安事件冲击。

重大资安事件往往非仅影响单一机构,为强化体系资安风险控管与资安联防,及配合金管会「金融资安行动方案」运行措施,委由专业第三方机构办理集团重大资安事件通报与应变演练,以提升集团间横向通报应变与支持协处之运作机制与能力。

信息安全教育训练

本公司及旗下子公司均完成113年一般同仁3个小时信息安全教育训练,资安专责人员亦已完成15小时资安专业训练课程,以提升信息安全能力,另定期办理电子邮件社交工程演练,提升全体同仁资安意识。

重大资通安全事件管理

本公司暨主要子公司均明定信息安全事件通报与处理进程,依其事件等级进行对应层级之通报与处理。信息单位需于目标处理时间内排除及解决该事件,并于事件处理完毕后进行分析,以预防事件重复发生。

重大资通安全事件应变处理具高度时效性要求,本公司设立「电脑资安事件应变小组」,由本公司总经理担任召集人,以即时掌握及支持本公司暨子公司重大资安事件之应变处理,降低事件损害。

最近年度及截至年报刊印日止,未发生造成客户权益受损或影响机构健全营运之重大资通安全事件

为确保本集团个人数据之搜集、处理及利用均妥善管理,并加强个人数据之安全维护,元大金控依据「个人数据保护法」、「金融监督管理委员会指定非公务机关个人数据文件安全维护办法」及主管机关相关法令规范,业制定「个人数据保护政策」、「个人数据管理办法」等规章,以创建个人数据保护制度并于各项业务落实运行,兹揭示本集团之个人数据保护管理措施如下:

一、所订「个人数据保护政策」适用范围包括本公司与子公司及各项业务

(一) 明定子公司应依「个人数据保护政策」之精神,创建与其业务规模及复杂程度相符之个人数据保护管理制度,以确保个人数据之搜集、处理及利用符合法令规定。

(二) 依据「个人数据管理办法」,就个人数据管理制度之实行与运作、个人数据安全管理原则等订有相关规范,包括但不限于所有参与个人数据搜集、处理、利用、传输、保存与销毁等作业之人员均须遵守规定、个人数据之搜集,应有特定目的并符合相关法令,爰除依「个人数据保护法」相关规定办理外,本公司承诺不向第三方搜集非由当事人提供之个人数据;且个人数据之处理及利用应于原告知事项或当事人原同意范围内为之等内容。

二、所订「个人数据管理办法」及「个人数据管理作业细则」明定个人数据最小化原则与个人数据之保存及销毁规定

(一) 搜集、处理及利用之个人数据应符合最小化原则,应确认仅搜集声明范围内运行业务所需之个人数据、处理及利用时应仅使用所需之最少量个人数据,并应确认不处理与特定目的范围无关或不必要之个人数据。

(二) 个人数据之保存应制定保存期限,如特定目的消失或保存期限届满,应采取不同方式销毁,并确实运行安全控管措施。

三、 所订「个人数据管理作业细则」明定个人数据之访问控制及保护措施

(一) 「个人数据处理、利用及传递作业之安全防护措施」:个资文档、文件或媒体之处理或利用环境应有进出管制;非经授权人员调阅个资文档或文件时,应有申请及核准进程;个人数据之传递需进行适当之加密措施。

(二) 「个人数据之安全控管措施」:进出集中保存个人数据之库房或文件柜,须有实体访问控管措施,并留存进出调阅纪录;经合法授与之访问权限,仅得在合法及符合业务目的下被访问。

四、 设立「个人数据保护小组」,以有效落实及集成个人数据保护相关事宜

依据「个人数据管理办法」设立个资保护小组,并由总经理指定副总经理级以上主管担任召集人及副召集人,及由各部室指派代表担任小组成员,并视业务运行情形召开会议讨论个资保护事宜。个资保护小组每年至少进行一次个人数据保护管理审查,审查结果并同年度法令遵循制度运行情形提报董事会。

五、 元大金控每年办理个人数据风险评估,以有效管理业务上之个人数据风险

依评估结果订定控管措施,评估结果及相关分析均提报个资保护小组会议。若发生个人数据安全或外泄事件,除依规定进程通报作业风险事件外,涉及信息面风险者,应依信息安全风险相关规定办理,并对于发生个资安全事件之原因,提供预防或改善建议。此外,个人数据保护亦列入内部审核查核项目及定期每年举办之教育训练课程,以提升员工对于个人数据保护之认知。

六、 本集团订有客户数据保密措施,并创建客户就其个人数据行使法定权利之机制,以保障当事人之隐私及权利

依据金融控股公司法、金融控股公司子公司间共同行销管理办法及主管机关相关法令规范,订定「客户数据保密措施」并于官网揭露,明示元大金控及子公司除该保密措施所定情形或经客户书面同意外,不会向第三人揭露客户个人数据;另亦于官网公告之「隐私权保护声明」,说明个人数据之搜集政策、保存及保护措施、行使查找、修正及删除之权利等规范,并提供电子邮件信箱作为提出意见之管道,以持续落实个人数据之保护与隐私权保障。