資通安全
本行資通安全管理架構
資通安全管理委員會
- 本行以資安部為資安專責單位,負責資通安全規劃、執行及監控資通安全管理作業,並依據「金融控股公司及銀行業內部控制及稽核制度實施辦法」第38-1條應指派副總經理以上或職責相當之人為資訊安全長,自2021年指派督導資安部之副總經理擔任資訊安全長(CISO),統籌本行資安政策推動協調與資源調度。
- 本行設置「資通安全管理委員會」,以有效執行資通安全管理相關事宜,該委員會由資訊安全長擔任召集人,綜理資通安全管理相關事宜之執行及協調。資通安全管理委員會每月至少召開一次,除邀請本行林欣吾常務董事/獨立董事,以及劉錦龍獨立董事列席及提供建議,審議資安管理、資安風險及資安防護相關議題,另於研議資安重大議題時亦邀請資安諮詢專家列席提供專業意見,就該資安重大議題之提案提供專業意見並至董事會接受諮詢。資通安全管理委員會於2025年已召開14次,包含本行資安作業執行情形季報告、資通安全維護計畫及營運持續演練等議題。
- 藉由資通安全管理委員會的成立及董事會成員參與,展現本行對資通安全的重視,讓資安不再是口號,而是制度的落實。
資通安全管理委員會職掌
資通安全管理委員會設置有資訊安全長,委員部門包含:總行法令遵循主管、法令遵循處、風險管理部、數位金融部、資訊部、證券部、資安部。列級部門包含:董事會稽核處、資安諮詢專家、其他必要單位。
資通安全管理政策
- 為確保本行各項資通系統及資訊資產之安全,健全本行整體資通安全架構及降低營運風險,本行已訂有「資通安全管理政策」,其目標在防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性,並持續依據年度「資通安全維護計畫」之資安執行方案完善資通安全防禦機制,以強化整體資通安全。
- 為確保本行各項資通系統及資訊資產之安全,健全本行整體資通安全架構及降低營運風險,本行已訂有「資通安全管理政策」,其目標在防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
- 本行為維護資通系統持續營運,除建立資通安全維護計畫及資通安全事件應變機制,定期辦理事件演練外,並建立資訊安全威脅監控與回應及資訊安全事件應變機制,以利及早因應,降低事件發生時對本行的影響。倘若發生資安事件,應依本行資通安全事件通報流程及重大偶發事件處理機制辦理,並視事件性質及影響程度,主動向受影響之利害關係人說明事件處置情形與後續改善措施。
- 本行全體人員、供應商及訪客皆應遵守資通安全管理政策,所有人員於辦理本計畫各項資通安全相關業務時,如有特殊功績或造成本行損失,將視情節輕重並依據本行規定辦理獎懲或考核。
- 本行全體人員、供應商及訪客皆應遵守資通安全管理政策,本行人員負有責任及義務保護其使用之資訊資產。供應商與本行合作時應遵循「資通安全條款與協議」所列之資安要求與系統安全。
- 本行每年檢視資通安全管理政策,或於發生重大變動時重新檢視,以符合資通安全相關法令、技術、組織及營運之最新發展趨勢,並委請第三方機構協助檢視年度資訊安全整體執行之有效性後,本行綜整年度資訊安全防護機制之執行情形、資通安全事件通報、內/外部利害關係人回饋等資料,於每年第一季將前一年度本行資訊通安全整體執行情形陳報董事會。
資通安全管理政策依循五大重點進行規劃,包含:詳列有五大重點:目標、適用範圍、遵循法令法規、導入相關資安管理制度及每年陳報董事會。
風險管理架構
- 本行為確實完成資通安全相關作業,採三道防線分工原則,以確保整體資通安全機制得以有效運行,第一道為全行資通系統管理及使用單位,負責設計及執行;第二道為資安部,負責資通安全管理作業之規劃與監控;第三道為董事會稽核處,負責獨立稽核之執行,稽核資安維運(如存取控制、安全防護及資安通報等)之有效性。
- 為確保作業流程已調整至最適切狀態,不定期指派專人採取實地輔導方式,協助相關單位儘速完善資安作業。
- 每月除向風險管理委員會提報本行資通安全辦理情形,每季亦將資安作業辦理情形提報資通安全管理委員會報告後,陳報至審計委員會及董事會,以供董事會有效掌握本行資安現況。
資通安全風險架構主要有三道防線,第一道為全行資通系統管理及使用單位,負責設計及執行;第二道為資安部,負責資通安全管理作業之規劃與監控;第三道為董事會稽核處,負責獨立稽核之執行,稽核資安維運(如存取控制、安全防護及資安通報等)之有效性。
資通安全事件通報流程
本行已建立明確的通報機制,要求行員於發現疑似資通安全事件或知悉資通安全事件後,應依本行資通安全事件通報流程進行通報,並儘速完成損害控制、復原與事件之調查及處理作業。資通安全事件除依事件嚴重程度分級處理外,必要時升級通報至高階主管或主管機關,並全程記錄與追蹤處理進度,確保風險能及時掌握與有效應對。
資通安全事件通報流程包含四大步驟,第一步-通報:發生疑似資通安全事件時,應通報系統管理單位,倘初步評估為是,應立即聯繫資安部通報窗口。第二步-評估等級:事件共分4級,視情況召開資安應變小組會議。第三步-應變處理:執行衝擊及損害控制,並留存記錄及資料。第四步-調查改善:完成資通安全事件調查、處理及改善報告。
具體管理方案及投入之資源
- 資安治理與監督:資安部每月向風險管理委員會提報資通安全辦理情形,每季彙整資安作業辦理情形提報資通安全管理委員會,經審議後陳報審計委員會及董事會,以強化董事會對資通安全風險之監督與決策。於2025年已召開14次,包含本行資安作業執行情形季報告、資通安全維護計畫及營運持續演練等議題。
- 精進資安管理制度:依主管機關或同業公會來函,以及本行實務作業需要增訂或修正本行規章,並於每年第四季均主動進行資安規章盤點及檢視作業。2025年度完成增修訂11件資通安全規章,以及於第四季重新檢視本行資安政策與雲端政策,確保符合政府法令、資安技術及本行業務等最新發展。
- 識別資安風險與改善:2025年完成電腦系統資訊安全評估、個人電腦及業務工作站弱點掃描檢測,以及行動應用(App)安全檢測等作業,相關弱點均納入資安弱點管理系統(VMS)進行追蹤,並以風險程度進行分級管理,優先處理高風險事項,提升網路與資訊系統安全防護能力。
- 設置資安防護機制:本行已建置「縱深防禦架構」包含防火牆、網頁應用程式防火牆(WAF)、入侵防禦系統(IPS)、垃圾郵件過濾、上網行為管理、網路威脅情資防護閘道、惡意威脅早期預警系統及端點偵測及回應系統(EDR)等,並持續依威脅態勢調整防護策略,以強化整體資通安全。
- 辦理各式資安演練:為提升本行資安防禦及應變能力,2025年已完成多項資安演練,包含資通安全事件通報及應變演練、DDoS攻防演練,以及委請專業資安廠商辦理白帽駭客(紅隊)演練,識別潛藏之資安風險,強化資安防禦能力及提升對網路攻擊之應變。另為強化同仁對社交郵件之警覺性,於2025年對全體行員共辦理12次電子郵件社交工程演練作業。
- 擴展資安情資與聯防:本行除已為金融資安資訊分享與分析中心(F-ISAC)及台灣電腦網路危機處理暨協調中心(TWCERT/CC)會員,主動參與情資分享外,亦自行蒐集香港網絡安全事故協調中心(HKCERT)情資、本行相關之資安情資及外部報導等情資,持續擴大資安情資來源,並指派資安專人接收、研析及追蹤資安相關改善進度,以掌握新興資安情資並擬定因應管控措施。
- 建置資安監控中心(SOC):本行已配置專業資安監控人員,透過資安事件分析平台(SIEM)集中蒐集並監控本行應用系統、網路設備、端點設備及重要資通資產之告警與異常行為,即時掌握內部異常活動及外部網路攻擊等威脅。倘發現具有實際或潛在資安風險,均依既定流程進行事件關聯分析、資安告警通報及回應處理,以確保關鍵資通資產之監控覆蓋完整性與資安防護監控之有效性。
- 辦理資安教育訓練:本行依人員職務性質,2025年分別完成全體行員資訊安全宣導課程,以及物聯網資安防護課程,完訓率均為100%;資安人員每員均完成15小時以上資安專業訓練或課程;另聘請資安專家對董監事及高階管理人員辦理資安教育訓練。
- 資安事件管理:本行已訂定資通安全事件通報及應變管理程序,定義通報之資通安全事件等級,並於事件處理完畢後分析根因,預防事件重複發生。為因應資安事件產生之影響與衝擊,本行已設置「資安應變小組(CSIRT)」,由本行資訊安全長擔任召集人,以即時掌握及妥處資安事件之應變處理,降低事件損害。
- 建立營運持續機制:本行已建立資通安全維護計畫及資通安全事件應變機制,並定期辦理事件演練,如於2025年已辦理資通系統營運持續計畫演練、資通安全事件通報及應變演練等,以降低因遭遇災難或重大事件對本行營運持續之衝擊,並完成「電子及電腦犯罪綜合保險」投保,以強化資安風險管理及降減本行於發生網路攻擊而遭受之財務損失。
- 導入國際資安管理標準:為確保客戶資料以及本行相關營運資料的機密性、完整性及可用性,本行已導入並取得「ISO 27001資訊安全管理系統」國際標準認證,且每年均維持證書的有效性,目前證書有效期至2028年11月6日。
- 資安經費:2025年投入之資安經費(包括軟硬體授權費用、人員訓練費用)占全部資訊預算費用13.24%。
