資訊與網路安全

TOP

● 資訊與網路安全治理架構

永豐金控董事會為監督集團資訊安全相關策略最高權責單位,並由具資訊安全相關背景之葉奇鑫董事負責監督集團之資安相關策略。2018年9月,永豐金控總經理下設置「資訊安全委員會」,作為管理資訊安全之最高單位,負責掌理資訊安全推動及治理、資訊安全風險監督及管理等事項,由具備資訊安全專業背景的李相臣副總經理擔任委員會召集人,法令遵循處處長、風險管理處處長、數位科技處處長及子公司資訊安全相關主管等擔任委員,並邀請總稽核列席。委員會任務為審議資訊安全政策及辦法、檢視資訊安全管理制度、提升資訊安全意識及研議相關教育訓練計劃,以及評估及議定資訊安全之相關基礎設施。
為力拚數位科技轉型,永豐金控於2020年6月進行組織調整,在金控下新設「資訊安全處」及「資訊處」,將資訊安全防護層級由各子公司提升至金控層級,建置整體集團的資訊安全治理架構,以利綜整金控及子公司相關資源,讓集團在衝刺數位科技業務時無後顧之憂。
子公司永豐銀行及永豐金證券皆依循金控所訂「資訊安全政策辦法」成立資訊安全專責單位,並已於2020年完成ISO 27001資訊安全管理系統認證證書有效性維護,對於客戶資料之存取、處理、傳輸、保存以及人員與設備之安全,均已完整管控。

● 資訊與網路安全管理

  • 資安政策

永豐金控訂定「資訊安全政策辦法」,確保金控及各子公司資訊處理符合資訊安全相關規定,並於2020年配合金融監督管理委員會金融行動方案及國家資通安全相關法規之修正進行內部規範調整,進一步完善各項資訊安全計畫及作業程序,包含資訊系統安全管理、網路安全管理、應用系統存取管理、應用系統開發及維護管理、電腦資產管理、系統環境安全管理、資訊系統災害復原管理等,確保資訊安全管理制度之落實。此外,永豐金控、永豐銀行及永豐金證券每年均檢視資訊安全政策及資訊安全事件應變流程是否符合營運環境及主管機關之規範要求、對資訊安全重大議題進行評估,並分析集團內部之資安風險及脆弱度。

  • 資安管理流程及系統

為防止與偵測未經授權而使用、竊取、破壞資訊系統,或資訊安全與個人資料防護措施不足導致資訊系統被駭、個資外洩等事件發生,影響公司信譽,永豐銀行及永豐金證券資訊相關單位(含資安單位)所提供之系統管理、應用軟體開發、委外管理、資料庫管理、網路管理、資訊安全管理和相關基礎設施維運活動等,皆符合ISO27001之規範,並取得其認證。除此之外,永豐金控也將持續提升資訊安全防護機制及個資保護管理強度,精進項目包括進階持續性威脅(APT)防護系統、防禦DDoS攻擊、電子郵件內容過濾、惡意軟體偵測、網站及APP 弱點掃描及安全檢測;同時也針對高風險系統(如ATMSWIFT系統),進行架構隔離及系統防護強化。2020年並無發生因意外事件對IT 系統或設備造成損害的罰緩及財務損失。

  • 資安事件通報流程

● 專業培訓及教育訓練

永豐金控每年針對全體員工實施資安年度宣導教育訓練( 線上課程),課程內容包括資安基本概念、近期資安事件回顧、資訊安全相關趨勢說明、社交工程手法介紹、內部規範宣導、資訊安全意識培養等。另為防範惡意電子郵件社交工程,另辦理社交工程教育訓練及演練,除教育宣導,並設計各種釣魚信件,對員工進行全面測試,以提升員工資安意識。公司內部資訊安全專責人員每年需參與15小時以上之資訊安全專業課程訓練或職能訓練,並通過評量;其他員工每年則需接受3小時以上資訊安全宣導課程,資訊安全之遵循程度並已納入員工績效評估項目之一環。此外,永豐金控及其子公司之「員工獎懲規則」亦規範如員工違反資訊安全相關規定,造成永豐金控及其子公司權益受損益時,由單位主管將懲處名單提交人力資源部門,按分層負責管理辦法核決權限表呈請權責主管核定。