.png)
.png)
.png)
請將裝置改以直向瀏覽,以獲得最佳效果。
:::
資訊安全與個資防護
新興科技發展增添資訊接觸方式的靈活多元,亦使頻仍發生之網路犯罪事件(如勒索軟體、撞庫攻擊等)更難以防護,資訊安全及個人資料保護面臨嚴峻挑戰,本行持續強化資訊安全防護能力與緊急應變韌性、遵循內外部各項規範及提升內部資安與個資保護認知,並設立資訊安全長統籌資安政策推動與資源調度,由 內而外形塑完整安全保護機制,除善盡企業良善管理責任、維護客戶權益及安全營運外,亦防止營運服務中斷及資訊安全事件或個人資料安全事故可能帶來之財務損失與商譽重創。
2022年度本行發生資料外洩事件1件,與個人資料相關事件之占比為1/1(1件),受影響之客戶數為1人,本行第一時間即審慎處理,後續積極執行 相關改善措施,以防止再度發生影響資料安全與客戶權益之情事。(詳見2022永續報告書2.6.2章節)
資訊安全機制
政策與承諾
- 為強化資訊安全管理,本行訂定「資訊安全政策」確保本行資訊的合法授權存取、機密性、完整性、可用性,於可能遭受內、外部威脅時,維持資訊設備與網路系統之可靠性及業務流程正常運行;於事故發生時作迅速必要之應變處置,以盡力降低可能帶來之損害,並持續以教育訓練及社交演練提升同仁對資訊安全之認知。
- 本政策每年定期檢視,經董事會核定後修正施行,以提供客戶最即時、良好、穩定且安全的系統服務,保障商品服務提供品質及客戶權益。
資訊安全管理架構
- 為有效推行資訊安全內部控制,本行採行三道防線之資訊安全內部控制管理架構:
- 第一道防線:由全行各單位及資訊處負責執行資訊安全作業。
- 第二道防線:由資訊安全處負責監控管理資訊安全政策之執行情形及其衍生之資安風險,並每月於風險管理委員會報告資訊安全管理辦理情形。
- 第三道防線:由稽核處進行檢查作業。
- 設置副總經理層級之資訊安全長,統籌資安政策推動與資源調度。資訊安全處處長擔任資訊安全專責主管,必須具備資訊安全相關背景,其功能性職責為負責監督和落實資訊安全政策與協調及推動資訊安全管理作業,每年向董事會報告資訊安全整體執行管理情形。
- 本行委聘資安諮詢顧問,提供董事會資訊安全管理之專業觀點與建議,以強化董事會資安治理量能。
資安通報機制
對資訊安全事件的通報與處理,依不同事件情況及嚴重等級,依循「彰化銀行資安事件通報管理施行細則」及「彰化銀行重大偶發事件處理程序」通報所屬單位,可透過「資安事件通報管理系統」、信件或電話進行內部溝通及通報,資訊及資安單位需於目標處理時間內排除及解決資訊安全事件,並追蹤資安事件之後續狀況、檢討改善方案並提出預防措施,以預防事件再次發生。
資安防護措施及管理機制
本行運用PDCA管理循環推動方式,掌握資訊安全風險管理,因應及預防新技術、新產品及業務流程變更可能帶來之風險議題。
- (一) 管理制度及系統評估
- 本行每年透過外部審查確認相關制度符合國際標準,同時評估管理制度運作成效,2022年度持續取得「營運持續管理制度ISO 22301」、「資訊安全管理制度ISO 27001」及「個人資料管理制度BS 10012」之有效性,並於2022年度完成營運持續管理制度之升版作業。
- 本行每年委請獨立第三方進行資安評估作業及資訊安全整體執行情形合規評估,以精進本行資訊安全。
- 本行行動應用程式(App)每年進行滲透測試及經濟部工業局資安自主檢測,並全數取得工業局合格證書及認證標章(MAS)。
- (二) 多層次資安防護及監控機制
- 本行運用多層次的資安設備協同運作,於網路、端點與資料庫及伺服器等面向建立防護及監控機制,強化資安防護作業,且重要系統導入雙因子驗證機制,強化存取安全。
- 運用自動化方式進行全天候監控、檢測、追蹤偽冒本行之網站及行動軟體,並對偽冒程式進行必要之因應。
- 定期對資訊系統執行原碼檢測、弱點掃描、滲透測試及惡意程式檢測,確認本行資訊系統是否存有弱點,及早發現並進行修補,以維持良好的資訊系統服務品質。
- (三) 資安情資整合運用
- 透過資安資訊分享及分析中心(F-ISAC)進行資安事件通報及情資分享,且將資安情資透過金融資安監控中心(F-SOC)介接模組回傳,進行事件情資比對及分析可疑攻擊來源,以掌握金融領域整體資安現況及威脅,提升資安聯防綜效。
- 定期檢視資訊設備狀態並進行營運衝擊分析,強化對災害事故的應變。
- (四) 資安教育訓練與演練
- 本行每年舉辦資安宣導認知課程,提升本行全體同仁資安意識,並每季定期透過資安訊息公告、社交工程演練、緊急應變演練及系統備援演練等,提高同仁警覺性及應變能力。
- ►2022年度資安教育訓練
- ►2022年於內部網站公布欄公告資安訊息至少24則以上,強化海內外同仁資安意識。
- ►每季執行社交工程演練,2022年共計發送16(次)封,累計發送119,824封測試信件,內容 包含中英文信件,提高同仁警覺性,降低遭受社交工程攻擊的機會。
- ►2022年完成7場緊急應變程序演練,使同仁熟悉不同事件情境的應變處理程序。
- ►2022年完成100場資訊系統演練,使同仁熟悉系統操作流程。
- ►為增進本行董事會與高階主管對資安情勢及最新資安風險的掌握,本行邀請外部專業講師 舉開「強化企業資訊韌性- 應變風險為機」專題課程,共計15人參與(包含8位董事),1位董事另以數位課程進行訓練,全體董事皆已完成資安教育訓練,深化資安防護相關專業知識,持續維護本行安全、便利、營運不中斷目標。
-
- 本行資訊安全人員每年接受專業資安課程,並鼓勵及補助同仁取得國際資安證照。
- ►2022年度協助本行20位學員全數取得ISO 22301:2019營運持續管理系統主導稽核員證書。
執行情形
- 本行於2022年度無發生與資訊設備與網路系統相關之重大資安事件,因資安事件而受影響的顧客數為0人。
- 金管會F-ISAC會員情資分享積分結算結果,獲得第一名佳績,評等為特優。