跳到主要內容區塊
彰化商業銀行LOGO
請將裝置改以直向瀏覽,以獲得最佳效果。

請將裝置改以直向瀏覽,以獲得最佳效果。

:::

資訊安全與個資防護

新興科技發展增添資訊接觸方式的靈活多元,亦使頻仍發生之網路犯罪事件(如勒索軟體、撞庫攻擊等)更難以防護,資訊安全及個人資料保護面臨嚴峻挑戰,本行持續強化資訊安全防護能力與緊急應變韌性、遵循內外部各項規範及提升內部資安與個資保護認知,並設立資訊安全長統籌資安政策推動與資源調度,由 內而外形塑完整安全保護機制,除善盡企業良善管理責任、維護客戶權益及安全營運外,亦防止營運服務中斷及資訊安全事件或個人資料安全事故可能帶來之財務損失與商譽重創。

資訊安全機制

政策與承諾

  1. 為強化資訊安全管理,本行訂定「資訊安全政策」確保本行資訊的合法授權存取、機密性、完整性、可用性,於可能遭受內、外部威脅時,維持資訊設備與網路系統之可靠性及業務流程正常運行;於事故發生時作迅速必要之應變處置,以盡力降低可能帶來之損害,並持續以教育訓練及社交演練提升同仁對資訊安全之認知。 
  2. 本政策每年定期檢視,經董事會核定後修正施行,以提供客戶最即時、良好、穩定且安全的系統服務,保障商品服務提供品質及客戶權益。

資訊安全管理架構

  1. 資訊安全管理架構
  1. 為有效推行資訊安全內部控制,本行採行三道防線之資訊安全內部控制管理架構:
    1. 第一道防線:由全行各單位及資訊處負責執行資訊安全作業。
    2. 第二道防線:由資訊安全處負責監控管理資訊安全政策之執行情形及其衍生之資安風險,每月於風險管理委員會報告資訊安全管理辦理情形,並每季彙整提報審計委員會及董事會,且每年向董事會報告資訊安全整體執行情形。
    3. 第三道防線:由稽核處進行查核作業。
  2. 設置副總經理層級之資訊安全長,統籌資安政策推動與資源調度。資訊安全處處長擔任資訊安全專責主管,必須具備資訊安全相關背景,負責監督和落實資訊安全政策與協調及推動資訊安全管理作業。
  3. 本行委聘資安諮詢顧問,提供董事會資訊安全管理之專業觀點與建議,以強化董事會資安治理量能。

資安通報機制及緊急應變

    1. 對資訊安全事件的通報與處理,依不同事件情況及嚴重等級,依循「彰化銀行資安事件通報管理施行細則」及「彰化銀行重大偶發事件處理程序」通報所屬單位,可透過「資安事件通報管理系統」、信件或電話進行內部溝通及通報,資訊及資安單位需於目標處理時間內排除及解決資訊安全事件,並追蹤資安事件之後續狀況、檢討改善方案並提出預防措施,以預防事件再次發生。
    2. 進行營運衝擊分析及擬定災害復原計畫,降低資訊系統營運中斷風險。 

資安防護措施及管理機制

本行運用PDCA管理循環推動方式,掌握資訊安全風險管理,因應及預防新技術、新產品及業務流程變更可能帶來之風險議題。

  1. (一) 管理制度及資安評估
    1. 本行每年透過外部審查確認相關制度符合國際標準,同時評估管理制度運作成效,2023年度持續取得「營運持續管理制度ISO 22301」、「資訊安全管理制度ISO 27001」及「個人資料管理制度BS 10012」之有效性,並於2023年度完成資訊安全管理制度之升版作業。
    2. 本行每年委請獨立第三方進行電腦系統資安評估、SWIFT CSP合規評估及資安整體執行情形合規評估,以精進本行資訊安全。
    3. 本行行動應用程式(App)每年進行滲透測試及數位發展部之基準檢測, 12個APP均取得「行動應用App基本資安標章及合格證書」。 
  2. (二) 多層次資安防護及監控機制
    1. 本行運用多層次的資安設備協同運作,於網路、端點與資料庫及伺服器等面向建立防護及監控機制,強化資安防護作業,且重要系統導入雙因子驗證機制,強化存取安全。
    2. 運用自動化方式進行全天候監控、檢測、追蹤偽冒本行之網站及行動軟體,並對偽冒程式進行必要之因應。 
    3. 定期對資訊系統執行原碼檢測、弱點掃描、滲透測試及惡意程式檢測,確認本行資訊系統是否存有弱點,及早發現並進行修補,以維持良好的資訊系統服務品質。 
    4. 交替運用DDoS攻防、紅藍隊演練及入侵與攻擊模擬等,驗證本行資安監控及防禦之有效性。 
  3. (三) 資安情資整合運用 
    1. 透過資安資訊分享及分析中心(F-ISAC) 與台灣電腦網路危機處理暨協調中心(TWCERT/CC)進行資安事件通報及情資分享,且將資安情資透過金融資安監控中心(F-SOC) 介接模組回傳,提升資安聯防綜效。 
    2. 2023年透過外部即時資安威脅情資主動監控與審視惡意活動,並整合資安防護工具,以及早感知資安威脅。 
  4. (四) 資安教育訓練與演練
    1. 本行每年舉辦資安宣導認知課程,提升本行全體同仁資安意識,並每季定期透過資安訊息公告、社交工程演練、緊急應變演練及系統備援演練等,提高同仁警覺性及應變能力。
      1. 2023年度資安教育訓練
        資安教育訓練
      2. 2023年於內部網站公布欄公告資安訊息至少24則以上,強化海內外同仁資安意識。
      3. 每季執行社交工程演練,2023年共計發送16(次)封,累計發送115,216封測試信件,內容包含中英文信件,提高同仁警覺性,降低遭受社交工程攻擊的機會。
      4. 2023年完成7場緊急應變程序演練,使同仁熟悉不同事件情境的應變處理程序。
      5. 2023年完成90場資訊系統演練,使同仁熟悉系統操作流程。
      6. 為增進本行董事會與高階主管對資安情勢及最新資安風險的掌握,本行邀請外部專業講師舉開董事資安教育訓練,共計25人參與(包含9位董事),全體董事皆已完成資安教育訓練,深化資安防護相關專業知識,持續維護本行安全、便利、營運不中斷目標。  
    1. 本行資訊安全人員每年接受專業資安課程,並鼓勵及補助同仁取得國際資安證照,目前本行同仁擁有資安證照*共70張,占總資產比率2.41%。
      *註:「資安證照」之認列係以行政院公布之「資通安全專業證照清單」為準,包含ISO 27001資訊安全管理系統主導稽核員證書、ISO 22301營運持續管理系統主導稽核員證書、ISO 27701隱私資訊管理系統主導稽核員證書、CCSP雲端資安專家認證、CEH駭客技術專家認證、CISM國際資訊安全經理人認證、CISSP國際資安系統專家認證、CISA國際電腦稽核師認證、OSCP進攻性安全認證專家…等。

執行情形

  • 本行於2023年度無發生與資訊設備與網路系統相關之重大資安事件,因而受影響的顧客數為0人。
  • 本行於2023年完成資安保險投保作業。
  • 本行於2023年金管會金融資安攻防演練,獲頒「金融資安攻防演練表現優異機構」。
  • 本行於2023年獲頒工商時報「數位資訊安全獎-金質獎」(第一名)。
  • 本行於2023年金管會資安攻防評比活動,獲頒「最佳金融資安防駭團隊獎」(第一名)。
  • 本行於2023年獲頒「2022年度F-ISAC會員情資分享表現特優機構獎」(第一名),且2023年度本行於F-ISAC會員情資分享績分結算結果,持續保持特優第一名的佳績。
  • 國內第一家通過英國標準協會(BSI)資訊安全管理系統(ISO 27001:2022)升版驗證之銀行,獲頒「資訊韌性卓越獎」。