您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態。

臺企銀行動銀行App
下載
首頁 永續發展
治理
資通安全

資通安全

本行資通安全管理架構
資通安全管理委員會
  • 本行以資安部為資安專責單位,負責資通安全規劃、執行及監控資通安全管理作業,並依據「金融控股公司及銀行業內部控制及稽核制度實施辦法」第38-1條應指派副總經理以上或職責相當之人為資訊安全長,自110年指派督導資安部之副總經理擔任資訊安全長(CISO),統籌本行資安政策推動協調與資源調度。
  • 本行設置「資通安全管理委員會」,以有效執行資通安全管理相關事宜,該委員會由資訊安全長擔任召集人,綜理資通安全管理相關事宜之執行及協調。召開會議時,除邀請本行林欣吾常務董事/獨立董事,以及劉錦龍獨立董事列席及提供建議,並審議本行整體資通安全管理執行情形外,另於研議資安重大議題時亦邀請資安諮詢專家列席提供專業意見,就該資安重大議題之提案提供專業意見並至董事會接受諮詢。資通安全管理委員會於112年已召開10次。
  • 藉由資通安全管理委員會的成立,展現本行對資通安全的重視,讓資安不再是口號,而是制度的落實。
資通安全管理委員會職掌
資通安全管理委員會職掌圖  
資通安全管理委員會設置有資訊安全長,委員部門包含:總行法令遵循主管、法令遵循處、風險管理部、數位金融部、資訊部、證券部、資安部。列級部門包含:董事會稽核處、資安諮詢專家、其他必要單位。
資通安全管理政策
  • 為確保本行各項資通系統及資訊資產之安全,健全本行整體資通安全架構及降低營運風險,本行已訂有「資通安全管理政策」,並要求本行全體人員、委外廠商及訪客皆應遵守本行之資通安全管理政策,以期確保資通系統及資訊資產之機密性、完整性及可用性,並降低營運風險。另本行每年定期或於發生重大變動時均重新檢視本政策,以符合資通安全相關法令、技術、組織及營運之最新發展趨勢。
  • 委請第三方機構協助本行檢視年度資訊安全整體執行之有效性後,本行綜整年度資訊安全防護機制之執行情形、資通安全事件通報、內/外部利害關係人回饋等資料,於每年第一季將前一年度本行資訊通安全整體執行情形陳報董事會。
     
資通安全管理政策圖
資通安全管理政策依循五大重點進行規劃,包含:詳列有五大重點:目標、適用範圍、遵循法令法規、導入相關資安管理制度及每年陳報董事會。
風險管理架構
  • 本行為確實完成資通安全相關作業,採三道防線分工原則,以確保整體資通安全機制得以有效運行,資通安全管控相關作業,採三道防線機制,第一道為全行資通系統管理及使用單位,負責設計及執行;第二道為資安部,負責資通安全管理作業之規劃與監控;第三道為董事會稽核處,負責獨立稽核之執行。
  • 為確保作業流程已調整至最適切狀態,不定期指派專人採取實地輔導方式,協助相關單位儘速完善資安作業。
  • 每月除向風險管理委員會提報本行資通安全辦理情形,每季亦將資安作業辦理情形提報資通安全管理委員會報告後,陳報至審計委員會及董事會,以供董事會有效掌握本行資安現況。
三道防線分工原則圖
資通安全風險架構主要有三道防線,第一道防線為執行,資通系統管理及使用單位,負責資通系統安全機制之設計及執行;第二道防線為規劃、監控,資安部負責資通安全管理作業知規劃、監控及執行;第三道防線為稽核,董事會稽核處負責資通安全機制獨立稽核之執行。
資通安全事件通報流程
疑似發生資安事件時,應依據本行「資通安全事件通報及應變管理程序」規定,系統管理單位應於知悉後於規定時間內完成損害控制及復原,並依實際處理之情形,分析發生原因,採取矯正措施,如下:
資通安全事件通報及應變管理程序
資通安全事件通報流程包含四大步驟,第一步-通報:發生疑似資通安全事件時,應通報系統管理單位,倘初步評估為是,應立即聯繫資安部通報窗口。第二步-評估等級:事件共分4級,視情況召開資安應變小組會議。第三步-應變處理:執行衝擊及損害控制,並留存記錄及資料。第四步-調查改善:完成資通安全事件調查、處理及改善報告。
具體管理方案及投入之資源
  1. 設置資安防護機制
    建置「全方位縱深防禦架構」,包括防火牆、網頁應用程式防火牆(WAF)、入侵防禦系統(IPS)、垃圾郵件過濾、上網行為管理、網路威脅情資防護閘道、惡意威脅早期預警系統及端點偵測及回應系統(EDR)等系統,以提升整體資安防禦能力。不論外部威脅之即時監控、阻擋,或內部環境之資料存取、操作行為,以綿密的監控機制防範不法或惡意行為。另採用美國聯邦金融機構檢查委員會(FFIEC)所公布之「網路安全評估工具」(CAT)進行資安治理成熟度評估,持續精進本行資通安全。
  2. 執行資安防護檢測
    為確保資通系統的安全性,本行定期執行資安防護檢測作業,於112年已執行電腦系統資訊安全評估專案,分散式阻斷服務(DDoS)演練,以及全行個人電腦及業務工作站弱點掃描檢測等作業,以確認既有控制措施之完整性與有效性。另透過專業機構進行紅藍軍攻防演練,以強化因應攻擊之防禦偵測與應變能力。
  3. 擴展資安情資與聯防
    本行已指派資安專人接收各式資安情資渠道,如金融資安資訊分享與分析中心(F-ISAC),或台灣電腦網路危機處理暨協調中心(TWCERT/CC)等之資安情資,依其建議或評估結果更新系統配置與設定,並追蹤改善進度,以掌握新興資安情資並擬定因應管控措施。
    為即時瞭解內外部資安威脅,本行已建置資安監控中心(SOC),並配置專業資安監控人員透過資安事件分析平台(SIEM)監控行內異常行為及外部攻擊等威脅,倘發現具有實際或潛在之風險,則進行資安告警通報,釐清脈絡並進行應變處理,以確保資安防護監控之有效性。
  4. 強化行員資安意識
    本行112年已完成全體行員3小時資訊安全宣導課程、資安專責人員15小時資安專業訓練課程,以提升資安意識與資安能力,並辦理董監事及高階管理人員之資安教育訓練,以及增進董事會成員對資安情勢掌握。為強化同仁對社交郵件之警覺性,於112年共辦理6次電子郵件社交工程演練作業。
  5. 建立營運持續機制
    本行已建立資通安全維護計畫及資通安全事件應變機制,並定期辦理事件演練,以降低因遭遇災難或重大事件對本行營運持續之衝擊,於112年已辦理17場資通系統營運持續計畫演練,並於112年起投保「電子及電腦犯罪綜合保險」,以移轉遭受行外惡意人士或駭客入侵系統導致之財務損失。
  6. 資通安全事件管理
    本行已訂定資通安全事件通報及應變管理程序,定義通報之資通安全事件等級外,並於事件處理完畢後分析根因,以預防事件重複發生。
    為因應資安事件產生之影響與衝擊,本行已設置「資安應變小組(CSIRT)」,由本行資訊安全長擔任召集人,以即時掌握及妥處資安事件之應變處理,降低事件損害。
  7. 導入國際資安管理標準及取得驗證
    為確保客戶資料以及本行相關營運資料的機密性、完整性及可用性,本行自99年11月取得「ISO 27001資訊安全管理系統」國際標準認證,每年均維持證書的有效性,目前證書之有效期為111年11月7日至114年11月6日,藉由ISO 27001資訊安全系統之導入,強化本行資安防護與營運持續能力,確保內部資產之安全性,提升客戶信任與保障。
  8. 112年投入之資安經費(包括軟硬體授權費用、人員訓練費用)占全部資訊預算費用11.60%。