資訊安全 - 元大金控

資訊安全信息安全 Information Security

資訊安全信息安全 Information Security 個資保護个资保护 Personal Data Protection

資訊安全信息安全 Information Security

資通安全風險管理架構與機制

董事會為本公司資訊安全管理之最高決策單位，本公司訂有「資訊安全政策」由董事會核定，以為本公司及子公司建立資訊安全管理制度及訂定相關資訊安全管理規範、程序等之依據。另本公司資訊安全政策以保護股東權益為基礎，並以「保護資訊資產安全」及「維持業務持續運作，以達企業永續經營」為目標。

為提升本公司對資安議題之決策能量，本公司暨主要子公司已設置資安長，統籌資安政策推動協調與資源調度，亦成立資訊安全專責或權責單位，負責資訊安全規劃、監控及執行資訊安全管理作業，並每年於董事會報告前一年度資安整體執行情形，以強化資安監理。本公司資訊安全專責單位配置14名資安專業人員，另資訊安全辦理情形報告已於114年1月20日第九屆第三十五次董事會報告在案。

為統籌資訊安全事項之管理，本公司設置跨部門之「資訊安全小組」，由總經理指派召集人及副召集人，定期召開資訊安全小組會議及管理審查會議，113年共召開6次會議，就資訊安全管理執行情形及資訊安全相關事項進行研議，以提升整體資安防護能量。

具體管理方案與投入資源

為達資安政策與目標，建立全面資安防護，推行的具體管理方案與投入資源如下：

導入國際資安管理標準及取得驗證

為持續精進資訊安全治理制度，資訊作業除符合國內外資訊安全法令法規外，本公司及證券、銀行、人壽、投信、期貨均已導入ISO 27001：2022資訊安全管理制度(ISMS)之標準，其後賡續辦理每年續審及每三年重審，113年均已通過驗證，證書持續有效並以PDCA(Plan-Do-Check-Act)之循環式品質管理架構持續強化資訊安全之監控與管理。本公司證書之有效期為112年12月至115年12月。

配合金管會「金融資安行動方案」及增進營運持續管理量能，銀行、人壽、證券與投信均已導入營運持續管理國際標準(ISO 22301)，其後賡續辦理每年續審，113年均已通過驗證，證書持續有效。以風險導向為基礎，結合業務端與系統端之各項資源，確保在任何情況下能維持營運水準，降低營運中斷風險，使組織具備更強的回復韌性。

資訊安全防護機制與檢測

提升網路與資訊系統防護能力，建立多層次縱深防禦架構，設置包括網路防火牆、軟體應用程式防火牆、入侵偵測系統、垃圾郵件過濾、郵件APT、上網行為管理、防毒系統、反釣魚網站及偽冒APP監控機制、端點資訊安全防護平台(EDR)、網路偵測與回應(NDR)等系統，以確保資訊系統安全。

本公司暨主要子公司定期透過獨立第三方定期執行弱點掃描、滲透測試、分散式阻斷(DDoS)演練、社交工程演練及電腦系統資訊安全評估等作業，以確保資訊系統的穩定性、安全性及既有控制措施之完整性與有效性。

資訊安全情資與聯防監控

因應金融科技快速發展，資訊安全已是組織重要的風險管理議題，為掌握新興資安情資與資安趨勢，本公司暨主要子公司透過加入金融資安資訊分享與分析中心 (F-ISAC)及參與金融資安聯防監控中心(F-SOC)跨域聯防與資安事件分享，有效提升整體資安防禦力。另導入資訊安全事件管理平台 (Security Information and Event Management, SIEM) ，以確保資訊安全防護監控之有效性。

為強化網路異常行為偵測告警之即時性及有效性，及配合金管會「金融資安行動方案」執行措施，本公司及旗下子公司已委由第三方專業機構建置資安監控機制(SOC)，透過 7x24 全時維運之即時監看，提供事前威脅的預警情報、事中威脅的即時告警以及事後威脅的分析建議，提升資安事件應變能力，達成資安監控聯防與協同運作效能。亦透過建置資訊安全管理監控儀表板，即時掌握電腦病毒、駭客入侵、資料外洩等資安風險指標之變化，以達集團資安監控聯防之目標。

資安攻防演練與重大資安事件演練

為實際評估縱深防禦能力，及配合金管會「金融資安行動方案」執行措施，舉辦集團紅藍隊攻防演練，委請專業第三方在不影響營運前提下，運用駭客攻擊手法，採目標導向式資安演練，以驗證資安防護、監控及防禦之有效性，提升同仁面對新型態攻擊之應處能力，並就演練發現之弱點進行修補或補償性措施，另對其所提建議亦進行可行性評估與規劃相應措施，期進一步強化公司資安防禦，降低資安事件衝擊。

重大資安事件往往非僅影響單一機構，為強化體系資安風險控管與資安聯防，及配合金管會「金融資安行動方案」執行措施，委由專業第三方機構辦理集團重大資安事件通報與應變演練，以提升集團間橫向通報應變與支援協處之運作機制與能力。

資訊安全教育訓練

本公司及旗下子公司均完成113年一般同仁3個小時資訊安全教育訓練，資安專責人員亦已完成15小時資安專業訓練課程，以提升資訊安全能力，另定期辦理電子郵件社交工程演練，提升全體同仁資安意識。

重大資通安全事件管理

本公司暨主要子公司均明定資訊安全事件通報與處理程序，依其事件等級進行對應層級之通報與處理。資訊單位需於目標處理時間內排除及解決該事件，並於事件處理完畢後進行分析，以預防事件重複發生。

重大資通安全事件應變處理具高度時效性要求，本公司設立「電腦資安事件應變小組」，由本公司總經理擔任召集人，以即時掌握及支援本公司暨子公司重大資安事件之應變處理，降低事件損害。

最近年度及截至年報刊印日止，未發生造成客戶權益受損或影響機構健全營運之重大資通安全事件

個資保護个资保护 Personal Data Protection

為確保本集團個人資料之蒐集、處理及利用均妥善管理，並加強個人資料之安全維護，元大金控依據「個人資料保護法」、「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」及主管機關相關法令規範，業制定「個人資料保護政策」、「個人資料管理辦法」等規章，以建立個人資料保護制度並於各項業務落實執行，茲揭示本集團之個人資料保護管理措施如下：

一、所訂「個人資料保護政策」適用範圍包括本公司與子公司及各項業務

(一) 明定子公司應依「個人資料保護政策」之精神，建立與其業務規模及複雜程度相符之個人資料保護管理制度，以確保個人資料之蒐集、處理及利用符合法令規定。

(二) 依據「個人資料管理辦法」，就個人資料管理制度之實行與運作、個人資料安全管理原則等訂有相關規範，包括但不限於所有參與個人資料蒐集、處理、利用、傳輸、保存與銷毀等作業之人員均須遵守規定、個人資料之蒐集，應有特定目的並符合相關法令，爰除依「個人資料保護法」相關規定辦理外，本公司承諾不向第三方蒐集非由當事人提供之個人資料；且個人資料之處理及利用應於原告知事項或當事人原同意範圍內為之等內容。

二、所訂「個人資料管理辦法」及「個人資料管理作業細則」明定個人資料最小化原則與個人資料之保存及銷毀規定

(一) 蒐集、處理及利用之個人資料應符合最小化原則，應確認僅蒐集聲明範圍內執行業務所需之個人資料、處理及利用時應僅使用所需之最少量個人資料，並應確認不處理與特定目的範圍無關或不必要之個人資料。

(二) 個人資料之保存應制定保存期限，如特定目的消失或保存期限屆滿，應採取不同方式銷毀，並確實執行安全控管措施。

三、所訂「個人資料管理作業細則」明定個人資料之存取控制及保護措施

(一) 「個人資料處理、利用及傳遞作業之安全防護措施」：個資文件、檔案或媒體之處理或利用環境應有進出管制；非經授權人員調閱個資文件或檔案時，應有申請及核准程序；個人資料之傳遞需進行適當之加密措施。

(二) 「個人資料之安全控管措施」：進出集中保存個人資料之庫房或檔案櫃，須有實體存取控管措施，並留存進出調閱紀錄；經合法授與之存取權限，僅得在合法及符合業務目的下被存取。

四、設立「個人資料保護小組」，以有效落實及整合個人資料保護相關事宜

依據「個人資料管理辦法」設立個資保護小組，並由總經理指定副總經理級以上主管擔任召集人及副召集人，及由各部室指派代表擔任小組成員，並視業務執行情形召開會議討論個資保護事宜。個資保護小組每年至少進行一次個人資料保護管理審查，審查結果併同年度法令遵循制度執行情形提報董事會。

五、元大金控每年辦理個人資料風險評估，以有效管理業務上之個人資料風險

依評估結果訂定控管措施，評估結果及相關分析均提報個資保護小組會議。若發生個人資料安全或外洩事件，除依規定程序通報作業風險事件外，涉及資訊面風險者，應依資訊安全風險相關規定辦理，並對於發生個資安全事件之原因，提供預防或改善建議。此外，個人資料保護亦列入內部稽核查核項目及定期每年舉辦之教育訓練課程，以提升員工對於個人資料保護之認知。

六、本集團訂有客戶資料保密措施，並建立客戶就其個人資料行使法定權利之機制，以保障當事人之隱私及權利

依據金融控股公司法、金融控股公司子公司間共同行銷管理辦法及主管機關相關法令規範，訂定「客戶資料保密措施」並於官網揭露，明示元大金控及子公司除該保密措施所定情形或經客戶書面同意外，不會向第三人揭露客戶個人資料；另亦於官網公告之「隱私權保護聲明」，說明個人資料之蒐集政策、儲存及保護措施、行使查詢、修正及刪除之權利等規範，並提供電子郵件信箱作為提出意見之管道，以持續落實個人資料之保護與隱私權保障。