跳到主要內容區塊
彰化商業銀行LOGO
請將裝置改以直向瀏覽,以獲得最佳效果。

請將裝置改以直向瀏覽,以獲得最佳效果。

:::

資訊安全機制

政策與承諾

    1. 本行訂定《資訊安全政策》並每年定期檢視、修正,以確保本行資訊的合法授權存取、機密性、完整性、可用性,於可能遭受內外部威脅時,維持資訊設備與網路系統之可靠性及業務流程正常運行;於事故發生時作迅速必要之應變處置,以盡力降低可能帶來之損害,並持續以教育訓練及社交演練提升同仁對資訊安全之認知,以提供客戶最即時、良好、穩定且安全的系統服務,保障商品服務提供品質及客戶權益。
    2. 2024年完成資安保險續保作業,以利資安風險轉移。
    3. 資訊安全專區

資訊安全管理架構

  1. 資訊安全管理架構
  1. 為有效推行資訊安全內部控制,本行採行三道防線之資訊安全內部控制管理架構:
    1. 第一道防線:由全行各單位及資訊處負責執行資訊安全作業。
    2. 第二道防線:由資訊安全處負責監控管理《資訊安全政策》之執行情形及其衍生之資安風險,每月於風險管理委員會報告資訊安全管理辦理情形,並每季彙整提報審計委員會及董事會,且每年向董事會報告資訊安全整體執行情形。
    3. 第三道防線:由稽核處進行查核作業。
  2. 設置副總經理層級之資訊安全長,統籌資安政策推動與資源調度。資訊安全處處長擔任資訊安全專責主管,必須具備資訊安全相關背景,負責監督和落實資訊安全政策與協調及推動資訊安全管理作業。
  3. 本行委聘資安諮詢顧問,提供董事會資訊安全管理之專業觀點與建議,以強化董事會資安治理量能。

資安通報機制及緊急應變

    1. 進行營運衝擊分析及擬定災害復原計畫,降低資訊系統營運中斷風險。
    2. 對資訊安全事件的通報與處理,依不同事件情況及嚴重等級,依循本行《資安事件通報管理施行細則》及《重大偶發事件處理程序》通報所屬單位,可透過「資安事件通報管理系統」、信件或電話進行內部溝通及通報,資訊及資安單位需於目標處理時間內排除及解決資訊安全事件,並追蹤資安事件之後續狀況、檢討改善方案並提出預防措施,以預防事件再次發生。 

資安防護措施及管理機制

運用PDCA管理循環推動方式,掌握資訊安全風險管理,因應及預防新技術、新產品及業務流程變更可能帶來之風險議題,每半年辦理資安管理審查會議。

  1. (一) 管理制度及資安評估
    1. 通過英國標準協會(BSI)BS 10012:2017個人資訊管理系統驗證之複審查核。
    2. 通過英國標準協會(BSI)ISO 27001:2022資訊安全管理系統驗證之複審查核。 
    3. 通過英國標準協會(BSI)ISO 22301:2019營運持續管理系統驗證之三年重審查核。
    4. 每年委請獨立第三方進行電腦系統資安評估、SWIFT CSP合規評估及資安整體執行情形合規評估。
    5. 每年對本行行動應用程式(APP)進行滲透測試及數位發展部之基準檢測,12個APP均取得「行動應用APP基本資安標章及合格證書」。 
  2. (二) 多層次資安防護及監控機制
    1. 運用多層次的資安設備協同運作,於網路、端點與資料庫、伺服器及軟體安全等面向建立防護及監控機制,強化資安防護作業,並依「金融資安行動方案2.0」逐步導入網路零信任機制。
    2. 重要系統導入雙因子驗證機制、建立特權帳號軌跡系統,確保伺服器之安全性。
    3. 以資安日誌與事件管理系統(SIEM)對各項設備事件記錄進行即時分析,有效偵測威脅與事件回應;運用自動化方式進行全天候監控、檢測、追蹤偽冒本行之網站及行動軟體,並對偽冒程式進行必要之因應。
    4. 定期對資訊系統執行滲透測試、弱點掃描、惡意程式檢測、原碼檢測及開源軟體檢測,及早發現弱點並進行修補。
    5. 交替運用分散式阻斷服務攻擊防護系統(DDoS)攻防、紅藍隊演練及入侵攻擊模擬實戰演練等,驗證資安監控及防禦之有效性,並發現弱點進行改善。
    6. 建置新個資外洩防護系統,優化郵件放行流程,且提供光學字元辨識(OCR)偵測功能,提升本行個資外洩防護能力。 
  3. (三) 資安情資整合運用 
    1. 透過資安資訊分享及分析中心(F-ISAC) 與台灣電腦網路危機處理暨協調中心(TWCERT/CC)進行資安事件通報及情資分享,且善用多元資安情資,提升資安聯防綜效。 
  4. (四) 資安教育訓練與演練
    1. 邀請外部專業講師舉開董事資安教育訓練,全體董事皆參與課程,增進董事會與高階主管對資安情勢及最新資安風險的掌握。
    2. 每年舉辦資訊安全教育訓練,及定期透過資安訊息公告、社交工程演練、緊急應變演練及系統備援演練等,提高同仁警覺性、應變能力及資安意識。
      1. 2024年度資安教育訓練
        資安教育訓練
      2. 2024年於內部網站公布欄公告資安訊息至少24則以上,強化海內外同仁資安意識。
      3. 每季執行社交工程演練,2024年共計發送16次社交工程測試,累計發送115,676封測試信件,內容包含中英文信件,通過率超逾99.5%,符合演練目標。
      4. 2024年完成7場緊急應變程序演練及104場資訊系統演練,使同仁熟悉不同事件情境的應變處理程序與系統操作流程,結果皆符合演練目標。  
    1. 本行資訊安全人員每年接受專業資安課程,並鼓勵及補助同仁取得國際資安證照,目前本行同仁擁有資安證照註共101張,占總資產比率3.2%。
      *註:「資安證照」之認列係以行政院公布之「資通安全專業證照清單」為準,包含ISO 27001資訊安全管理系統主導稽核員證書、ISO 22301營運持續管理系統主導稽核員證書、ISO 27701隱私資訊管理系統主導稽核員證書、CCSP雲端資安專家認證、CEH駭客技術專家認證、CISM國際資訊安全經理人認證、CISSP國際資安系統專家認證、CISA國際電腦稽核師認證、OSCP進攻性安全專家認證、CPENT滲透測試專家認證及CCISO國際資訊安全長認證等。