您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
快速查詢

本行資訊安全管理架構說明

本行107年度沒有發生造成客戶權益受損或影響本行健全營運之資通安全事件。

  • 本行資通安全管理委員會

107年6月經董事會議審議通過組織規程,設置具職權行使獨立性之資訊安全專責單位─資安部,下設資安管理科及資安技術科,並歸屬風險管理中心。且為有效執行資通安全管理相關事宜,本行於107年10月設置「資通安全管理委員會」,負責審議資通安全管理制度及其相關規章,以及監督通過議案之執行情形等工作,藉由資通安全管理委員會的成立,展現本行對資訊安全的重視,讓資安不再是口號,而是制度的落實。

圖1.資通安全管理委員會職掌

  • 資通安全政策

為確保本行各項資通系統及資訊資產之安全,健全本行整體資通安全架構及降低營運風險,本行特訂定「資通安全政策」,詳列有五大重點:目標、適用範圍、遵循法令法規、導入相關資安管理制度及每年度提報董事會。
本行之資通安全整體目標是在確保資通系統及資訊資產之機密性、完整性及可用性,並降低營運風險,且本行全體人員、委外廠商及訪客皆應遵守本行之資通安全政策。
另委請第三方認證機構於107年12月至本行相關部處實地查核,評估期間為107年1月1日至107年12月31日止,結果為「已符合相關規範要求」。綜整本行107年度資訊安全防護機制之執行情形、資通安全事件通報、內/外部利害關係人回饋等資料,出具「107年度資訊安全整體執行情形報告」並於108年3月提報董事會。

資通安全管理政策

圖2.資通安全管理政策

本行為確實完成資通安全相關作業,採三道防線分工原則,以確保整體資通安全機制得以有效運行:

三道防線分工原則

圖3.三道防線分工原則

資通安全管控相關作業,採三道防線機制,第一道為全行資通系統管理及使用單位,負責設計及執行;第二道為資安部,負責規劃與監控;第三道為董事會稽核處,負責獨立稽核之執行。

本行為確保剩餘風險管理,已規劃投保資安險以轉移此風險,現刻正洽尋適合本行之資安保險產品。未完成投保之前,本行因應的預防措施如下:

  1. 本行訂定資通安全事件通報及應變管理程序、資通系統安全檢測作業程序等制度,若遭受入侵或攻擊時,可依據進行通報及應變管理程序,盡速降低事件造成損害。
  2. 本行已設置相關資安防護設施,並透過單位協同合作,建構多層次的縱深防禦機制,降低來自網際網路的安全威脅風險,維護本行重要資產的機密性(Confidentiality)、完整性(Integrity)及可用性(Availability)。