近年來受疫情影響,人類生活形態大幅改變,許多事都是在網路世界進行,致使資訊安全與生活息息相關,落實資訊安全防護已是保障客戶權益及維護金融體系穩健運行的重要議題。
資訊安全治理策略
本公司依據國內外資安相關法令規範與業務需求,如「金融控股公司法」、「金融控股公司子公司間共同行銷管理辦法」、「金融機構資通安全防護基準」及「個人資料保護法」等,訂定「資訊安全政策」、建置管理系統並成立行動小組,以落實集團之資訊安全。據此,合庫銀行成立「資安管理小組」,建立資通安全風險管理架構,並配合金管會推動之「金融資安行動方案」於 2021 年設置資安長,本公司亦於 2022 年設置副總經理層級資安長,統籌資訊安全政策推動、協調及資源調度,提升對資安議題之執行與應變能力。為增進董事會成員對資安情勢掌握,並實質將資安風險納入經營決策考量,合庫銀行開辦銀行董監事及高階主管資安課程;另合庫銀行及合庫人壽也藉由委聘外部專業資安人士參與資安管理會議,針對資安議題提供諮詢與建議,且每年於董事會提報前一年度資訊安全整體執行情形。
為強化資訊安全防護,完善資訊安全治理,合庫銀行持續編列預算辦理各類資訊安全防護措施,2022 年度資安預算總額與整體資訊預算之占比約為 6.9%,以建置新系統及優化現行資安防護系統。
資安事件應變體系
本公司訂有「電腦資安事件應變處理要點」,設置跨部門「資安事件應變小組」與通報作業辦法,透過定期演練確保同仁之應變防護能力,降低資安事件發生時之影響與衝擊。另為減緩因系統遭入侵而蒙受財務損失與衝擊並儘速恢復營運,合庫銀行於2022 年投保「資訊系統不法行為險」,投保金額為新臺幣1億5,000萬元,透過風險轉移以降低財產損失。
資安聯防及情資分享與合作
目前全集團設有資安人員共 60 名,每半年定期審視各子公司資安防護措施與執行情形並召開金控集團資安聯防會議,檢討資安聯防管理作業辦理情形,建立集團資安分級管理與資安治理制度,持續強化整體資訊安全與資料保護。
為增進金融機構間資安情資交流及分享,本公司與子公司(合庫銀行、證券、人壽、投信及票券)皆已加入「金融資安資訊分享與分析中心」(F-ISAC),透過會員間分享資安資訊,協助資安規範評估與建議,持續精進相關保護措施。
取得國際標準認證
為維護資通安全之機密性、完整性、可用性與適法性,避免發生人為疏失、蓄意破壞與自然災害時,資通與資產遭致不當使用、洩漏、竄改、毀損、消失等,影響營運作業,導致公司及客戶權益遭受損害,相關子公司導入「ISO 27001 資訊安全管理系統」與「ISO 22301 營運持續管理系統」,強化資通安全事件之應變處理能力,保護公司與客戶之資產安全,並確保公司業務持續性,在遭受不良事件能持續不間斷運作。
資訊安全風險評估與管理
2022 年國內外以金融機構為攻擊對象的重大資安事件,依型態可分為 DDoS 攻擊、ATM 系統遭駭、勒索軟體攻擊、網路釣魚詐騙、金融機構供應鏈遭駭、偽冒金融機構行動應用程式、社交工程攻擊、惡意程式攻擊等已知或潛在之風險,發生頻率有逐年增加趨勢,攻擊來源大多來自國際駭客組織。2022 年本集團無違反資訊安全或其他網路安全事件,亦無因 IT 設備異常而造成收入減少或遭罰款之情形,惟 2022 年 4 月 6 日證交所為加強資安防護作業,以合庫證券網路下單登入未採多因子驗證,及網路下單系統憑證申請及更新之驗證方式防護力不足等因素,對合庫證券課以違約金處分,詳細受罰原因及後續改善處理作為請詳 3.4 法令遵循、防制洗錢與打擊資恐 。
針對因新興科技所產生之資安風險,各子公司訂定評估檢核機制、執行資訊安全系統測試以及取得資訊安全認證,以落實資訊安全之管理。
資安教育訓練與社交工程演練
為增進員工資安防護能力與意識,每年持續辦理全集團資安教育訓練,2022 年員工完訓率達 100%,並實施「社交工程電子郵件攻擊演練」及「分散式阻斷服務攻擊(DDoS)演練」,以強化對郵件及網路攻擊的應變能力 ;「社交工程電子郵件攻擊演練」開啟率、檔案連結開啟率、附件開啟率 3 項均需小於 3%,2022年集團 3 項比例皆小於 3%。
外部驗證