元大金控 元大金控 元大金控

董事會為本公司資訊安全管理之最高決策單位，本公司訂有「資訊安全政策」由董事會核定，以為本公司及子公司建立資訊安全管理制度及訂定相關資訊安全管理規範、程序等之依據，確保公司重要資訊機密性、完整性及可用性。另本公司資訊安全政策以保護股東權益為基礎，並以「保護資訊資產安全」及「維持業務持續運作，以達企業永續經營」為目標。

為提升資安議題之決策能量，本公司暨主要子公司已設置資安長，統籌資安政策推動協調與資源調度，亦成立資訊安全專責或權責單位，負責資訊安全規劃、監控及執行資訊安全管理作業，本公司在資訊安全專責單位配置10名資安專業人員。每年將資訊安全整體執行情形提報董事會，以強化資安監理，本公司資訊安全辦理情形報告已於112年2月1日第九屆第十一次董事會報告在案。

為統籌資訊安全事項之管理，本公司設置跨部門之「資訊安全小組」，由總經理指派召集人及副召集人，定期召開資訊安全小組會議及管理審查會議，111年共召開7次會議，就資訊安全管理執行情形及資訊安全相關事項進行研議，以提升整體資安防護能量。

本公司定期召開集團資安主管聯席會，由金控資安長擔任召集人，與會成員包含子公司資安長及其資安主管，就集團策略、關鍵議題、子公司間待協調或討論事項、經驗分享等，以增進集團間的交流與強化資安聯防。

1. 導入國際資安管理標準及取得驗證

為持續對資訊安全精進治理制度，資訊作業除符合國內外資訊安全法令法規外，本公司及證券、銀行、人壽、投信、期貨均已分別導入ISO 27001資訊安全管理制度(ISMS)之標準，其後賡續辦理每年續審及每三年重審，111年均已通過英國標準協會(BSI)之驗證，證書持續有效，並以PDCA(Plan-Do-Check-Act)之循環式品質管理架構持續強化資訊安全之監控與管理，本公司目前證書之有效期為109年12月至112年12月。

另為增進營運持續管理量能及符合金融資安行動方案，銀行與人壽於111年導入國際營運持續管理制度 (ISO22301)，並通過英國標準協會(BSI)之驗證。以風險導向為基礎，結合業務端與系統端之各項資源，確保在任何情況下能維持營運水準，降低營運中斷風險，使組織具備更強的回復韌性。

2. 資訊安全防護機制

建立多層次縱深防禦架構，設置包括網路防火牆、軟體應用程式防火牆、入侵偵測系統、垃圾郵件過濾、郵件APT、上網行為管理、防毒系統、資訊安全事件管理與端點防護等系統，以確保資訊系統安全。亦積極導入各項自動化偵測與監控系統，不論外部威脅之即時監控、阻擋，或內部環境之資料存取、作業行為監控及設備區隔均加以管控，以綿密的分層隔離過濾機制防範不法或惡意行為，以因應資通安全風險威脅，提升整體資安防禦能力。

另為整合人員、流程與技術，並集中式即時監控資訊安全威脅，掌握資訊安全狀態，銀行與證券於111年建立資安監控機制(SOC)，以能即時有效關聯與分析整體資安威脅，提升應處與管理能力，確保交易安全及營運維持。

3. 資訊安全防護檢測

為確保資訊系統的穩定性、安全性及既有控制措施之完整性與有效性，本公司及主要子公司透過獨立第三方機構定期執行弱點掃描、滲透測試、分散式阻斷(DDoS)演練、社交工程演練及資訊安全評估等作業。另111年證券與銀行亦已透過專業第三方機構進行紅藍軍攻防演練，以強化因應攻擊之防禦偵測與應變能力。

4. 資訊安全情資與聯防

本公司暨主要子公司均指派專人處理金融資安資訊分享與分析中心 (Financial Information Sharing and Analysis Center, F-ISAC) 及外部資安情資資訊，依其建議或評估結果更新系統配置與設定，並將其處理狀況定期陳報，以即時掌握新興資安情資並擬定因應措施，利用相關資安防禦系統整合威脅情資以達聯防綜效。

為強化分析能力，本公司、銀行、證券、人壽及期貨已導入資訊安全事件管理平台 (Security Information and Event Management, SIEM)，透過平台偵測內部異常使用行為及外部攻擊等資訊安全事件，若發現潛在風險威脅資訊安全，則依其異常事件進行分析處理，以達快速偵測與回應攻擊之防禦能量與應變能力，以確保資訊安全防護監控之有效性。

5. 資訊安全教育訓練

本公司暨主要子公司均完成111年一般同仁3個小時資訊安全教育訓練、資安專責人員15小時資安專業訓練課程，以提升資訊安全能力，另定期辦理電子郵件社交工程演練，提升全體同仁資安意識。