資訊安全

TOP

● 資訊安全治理架構

新興科技促使網路犯罪猖狂,金融業須更審慎因應資訊安全議題。永豐金控董事會成員中,由具資安相關背景之葉奇鑫先生負責監督集團之資安相關策略。20189月,永豐金控總經理下設置「資訊安全委員會」,作為管理資訊安全之最高單位,負責掌理資訊安全推動及治理、資安風險監督及管理等事項,由具備資訊安全專業背景,曾任職刑事警察局科技犯罪防制中心與警政署資訊室之李相臣副總經理擔任召集人,法令遵循處處長、風險管理處處長、數位科技處處長及子公司資訊安全相關主管等擔任委員,並邀請總稽核列席。委員會任務為審議資訊安全政策及辦法、檢視資訊安全管理制度、提升資訊安全意識及研議相關教育訓練計劃、以及評估及議定資訊安全之相關基礎設施。永豐銀行及永豐金證券皆依循金控所訂「資訊安全政策辦法」成立資訊安全專責單位,並持續更新ISO27001資訊安全管理系統認證,以善盡對客戶或投資人的個人資料保密職責。

● 資訊安全管理

  • 資安政策

為強化資訊安全管理,永豐金控建立安全及可信賴之資訊系統,確保資料、系統、設備及網路安全,訂定「資訊安全政策辦法」,確保金控及各子公司資訊處理符合資訊安全相關規定,保障客戶權益,並擬於2020年配合國家資通安全相關法規之修正進行內部規範調整,進一步完善各項資訊安全計畫及作業程序,包含資訊系統安全管理、網路安全管理、應用系統存取管理、應用系統開發及維護管理、電腦資產管理、系統環境安全管理、資訊系統災害復原管理等,確保資訊安全管理制度之落實。此外,永豐金控每年均檢視資訊安全政策及資訊安全事件應變流程是否符合營運環境及主管機關之規範要求、對資訊安全重大議題進行評估,並分析集團內部之資安風險及脆弱度,且將內部資安政策以電子郵件方式公告所有員工,每年定期進行教育訓練,以提升同仁對資訊安全之認知。永豐金控也於「供應商企業社會責任行為準則」中訂定商業道德資訊隱私之規範,要求供應商應合理保護業務往來的業務資訊及個人資料,以確保公司及個人隱私不被洩漏而受到損害。另,未經永豐金控之書面同意,供應商不得以任何形式公開透露與永豐金控之合作關係。「採購作業管理規則」中也明文訂定,永豐金控之決標供應商不得違反「供應商企業社會責任行為準則」。

  • 資安管理流程及系統

為防止與偵測未經授權而使用、竊取、破壞資訊系統,或資訊安全與個人資料防護措施不足導致資訊系統被駭、個資外洩等事件發生,影響公司信譽,永豐銀行及永豐金證券資訊相關單位(含資安單位)所提供之系統管理、應用軟體開發、委外管理、資料庫管理、網路管理、資訊安全管理和相關基礎設施維運活動等,皆符合ISO27001之規範,並取得其認證,也將持續進行ISO27001資訊安全管理系統驗證,提升資訊安全防護機制及個資保護管理強度,項目包括進階持續性威脅(APT)防護系統、防禦DDoS攻擊、電子郵件內容過濾、惡意軟體偵測、網站及APP弱點掃描及安全檢測;同時也針對高風險系統(ATMSWIFT系統),進行實體隔離及系統防護強化。2019年並無發生任何資料外洩事件、或因意外事件對IT系統或設備造成損害的罰緩及財務損失。

● 專業培訓及教育訓練

企業應提升資訊安全管理水準,落實在企業營運流程中,並提升員工資訊安全認知,建構出兼顧服務效率及安全保護的環境,方能維護良好之顧客關係與提升企業之產業競爭力。為提升資訊安全水準,永豐金控透過電子郵件將內部資安政策公告所有員工,且公告於內部平台以供隨時查閱;資訊安全之遵循程度並已納入員工績效評估項目之一環;此外,永豐金控更積極推動資訊安全教育,針對管理、業務及資訊等不同工作類別之需求,辦理資訊安全教育訓練及宣導,建立員工資訊安全認知與資訊安全管理能力,以優化資訊安全水準。

● 客戶資料隱私

確保客戶的個人隱私資料及財務資訊是金融業基本職責,金融業應有效管理並揭露管理績效,尤其近年因多元業務發展,客戶個人資料保密與隱私愈趨重要,妥善保管客戶資料,在符合法令及授權範圍內合法蒐集、處理及利用客戶資料,並建立控管機制,確保客戶相關資料及客戶隱私之保密性,已是金融業職責與重大議題。

為保障客戶個人資料安全與隱私,永豐金控訂定相關管理政策,永豐銀行、永豐金證券、永豐金證券(歐洲)、永豐投信等子公司均設置資料保護長(DPO),並於官網說明「客戶資料保密措施」,公告客戶個人資料之蒐集、範圍與使用方式,以及資料安全與保存方法;且訂定「個人資料保護政策暨檔案安全維護辦法」,落實個資使用之各項規範。

永豐金控關注科技發展、社會環境及法令變遷,隨時調整客戶資料保密措施,並公告周知。為使個人資料維護工作得以落實,各子公司皆投入相當資源,設立個人資料保護管理執行小組負責推動、檢視和個資相關之各項任務與管理規劃,並不定期以會議形式進行報告及討論。