資安風險及脆弱度評估

為加強永豐金控內部的資訊安全防護能力，集團內部依不同頻率進行資安風險及其脆弱度的評估，了解系統及內部控制中潛在的資安相關威脅。此外，永豐金亦訂定詳細的資案事件應變流程及管理措施，有效避免資安或網路安全相關風險之發生，並持續提升資訊安全防護機制及個資保護管理強度，精進項目包括進階持續性威脅（APT）防護系統、防禦 DDoS 攻擊、電子郵件內容過濾、惡意軟體偵測、網站及 APP 弱點掃描及安全檢測；同時也針對高風險系統（如 ATM、SWIFT 系統），進行架構隔離及系統防護強化，永豐銀行及永豐金證券資訊相關單位所提供之系統管理、資料庫管理、網路管理、資訊安全管理和相關基礎設施維運活動等，皆取得 ISO27001 之認證。

項目	頻率	主要內容
檢核資安檢核報表檢核	每日	透過檢核資安報表發掘潛在資安事件，降低威脅與影響。
召開資安戰情中心月會	每月	檢視端點主機、特權帳號、使用者行為以及威脅獵捕等監控點措施，並進行分析與討論。
		檢視資安戰情中心月會決議事項，以及資安監控點等措施執行狀況進行研議。
審查弱掃報告	每季	審查網頁及主機弱點掃描報告及追蹤弱點修補執行進度，並持續追蹤弱點修補，強化資安能量。
審查滲透測試報告	每半年	針對網頁及 SWIFT 執行滲透測試，並追蹤修補弱點執行進度，強化資安能量。

資安管理流程及系統

根據永豐金控「資訊安全政策」，各單位如發生資訊安全事件，應立即依「緊急事件因應要點」辦理。資訊安全處應評估影響範圍、擬定應評估影響範圍、擬定因應計畫，並通報資訊安全委員會召集人進行必要決策與工作調度。此外，永豐金控及其子公司每年執行營運持續計畫（BCP）與緊急事件應變程序之測試，以完善營運持續管理計畫。

資安事件通報處理流程圖